Investigadores de seguridad han descubierto un sofisticado conjunto de herramientas de hacking capaz de comprometer dispositivos iPhone que ejecutan versiones antiguas de software. Según Google, el kit de exploits conocido como Coruna ha pasado de un cliente gubernamental a manos de cibercriminales, planteando serias preocupaciones sobre la proliferación de estas capacidades de vigilancia. La empresa tecnológica identificó por primera vez estas herramientas de hacking en febrero de 2025 durante un intento de instalación de spyware por parte de un proveedor de vigilancia que trabajaba para un gobierno.
El mismo kit de exploits fue detectado posteriormente en ataques contra usuarios ucranianos ejecutados por un grupo de espionaje ruso, y más tarde en operaciones de un hacker motivado económicamente en China. La propagación de estas herramientas de hacking a múltiples actores diferentes representa un cambio significativo en el panorama de las amenazas cibernéticas.
Del uso gubernamental al mercado clandestino
Actualmente se desconoce cómo las herramientas fueron filtradas o cómo se propagaron entre diferentes grupos. Sin embargo, los investigadores de Google advirtieron sobre un mercado emergente de exploits de “segunda mano”, donde estas herramientas son vendidas a hackers motivados por lucro económico para extraer más valor de los exploits existentes.
La empresa de seguridad móvil iVerify obtuvo y realizó ingeniería inversa de las herramientas, vinculando el kit Coruna al gobierno estadounidense basándose en similitudes con herramientas de hacking previamente atribuidas a Estados Unidos. Según iVerify, cuanto más generalizado sea el uso de estas capacidades, más probable será que ocurran filtraciones.
Capacidades técnicas del kit Coruna
Según Google, las herramientas de hacking son extraordinariamente potentes y pueden eludir las defensas del iPhone simplemente mediante la visita a un sitio web malicioso que contenga el código del exploit. Este tipo de ataque, conocido como “watering hole”, puede ejecutarse enviando un enlace malicioso a la víctima.
El kit Coruna puede comprometer un iPhone de cinco maneras diferentes, encadenando 23 vulnerabilidades separadas en su arsenal digital. Los dispositivos afectados incluyen modelos de iPhone que ejecutan desde iOS 13 hasta la versión 17.2.1, lanzada en diciembre de 2023.
Conexión con operaciones anteriores
Según reportó inicialmente Wired, el kit Coruna contiene componentes utilizados previamente en una campaña de hacking denominada Operación Triangulation. La firma de ciberseguridad rusa Kaspersky afirmó en 2023 que el gobierno estadounidense intentó hackear varios iPhones pertenecientes a sus empleados durante esta operación.
Precedentes de filtraciones de herramientas gubernamentales
Aunque las filtraciones de herramientas de hacking son raras, no son casos aislados. En 2017, la Agencia de Seguridad Nacional de Estados Unidos descubrió que herramientas desarrolladas para hackear computadoras Windows en todo el mundo habían sido robadas.
La puerta trasera de Windows, conocida como EternalBlue, fue posteriormente publicada y utilizada por cibercriminales en ataques subsecuentes, incluyendo el ataque de ransomware WannaCry de 2017 ejecutado por Corea del Norte. Este incidente demostró cómo las capacidades de vigilancia gubernamental pueden convertirse en armas para actores maliciosos.
Adicionalmente, el caso de Peter Williams, ex jefe del contratista de defensa estadounidense L3Harris Trenchant, ilustra los riesgos internos. Williams fue sentenciado a más de siete años de prisión tras declararse culpable de robar y vender ocho exploits a un intermediario conocido por trabajar con el gobierno ruso, según informó TechCrunch recientemente.
Implicaciones de seguridad
El descubrimiento de Coruna subraya cómo los exploits y puertas traseras diseñados para uso gubernamental pueden filtrarse y ser abusados por cibercriminales u otros actores no estatales. Esta proliferación representa un desafío creciente para la seguridad de dispositivos móviles y la protección de datos personales.
Los usuarios de iPhone con versiones de iOS anteriores a actualizaciones recientes permanecen potencialmente vulnerables a estos ataques. Google y Apple continúan investigando el alcance completo de estas herramientas, mientras que la comunidad de seguridad observa si emergen más casos de uso indebido de estas capacidades. La situación resalta la necesidad urgente de actualizar dispositivos regularmente y la importancia de evaluar las consecuencias no intencionadas del desarrollo de herramientas de vigilancia gubernamental.