El hack de iPhone que preocupa: de herramienta estatal a arma del cibercrimen

Herramientas para hackear un iPhone y controlar el dispositivo con solo visitar un sitio web, circula entre servicios de inteligencia y grupos de ladrones de criptomonedas.

Investigadores de seguridad de Google identificaron este paquete de exploits, bautizado Coruna, como uno de los sistemas de ataque más avanzados detectados hasta ahora contra el sistema operativo móvil de Apple. Según estimaciones de la firma de ciberseguridad iVerify, el toolkit ya habría comprometido decenas de miles de teléfonos.

Lo más inquietante no es solo su potencia técnica, sino su posible origen: indicios en el código sugieren que podría haber sido desarrollado inicialmente para uso gubernamental estadounidense.

Apple ya corrigió esas vulnerabilidades en versiones recientes del sistema operativo, pero los exploits funcionaban en dispositivos con iOS 13 hasta iOS 17.2.1. — **Apple ya corrigió esas vulnerabilidades en versiones recientes del sistema operativo**, pero los *exploits* funcionaban en dispositivos con **iOS 13 hasta iOS 17.2.1**.

Un ataque que funciona con solo visitar una página

Coruna funciona mediante una técnica conocida como exploit web. El usuario no necesita descargar archivos ni instalar aplicaciones: basta con visitar una página web preparada para que el código aproveche vulnerabilidades del sistema y ejecute malware de forma silenciosa.

Según el informe de Google, el toolkit incluye 5 cadenas completas de explotación que utilizan 23 vulnerabilidades diferentes de iOS.

Este tipo de arsenal es extremadamente raro y suele requerir años de desarrollo y grandes recursos financieros, algo normalmente asociado a actores estatales.

Los ataques apuntan principalmente a fallas del motor WebKit, el componente que utilizan los navegadores en iPhone.

Apple ya corrigió esas vulnerabilidades en versiones recientes del sistema operativo, pero los exploits funcionaban en dispositivos con iOS 13 hasta iOS 17.2.1.

Del espionaje a la ciberdelincuencia

El recorrido de Coruna muestra cómo una herramienta creada para operaciones sofisticadas puede terminar circulando fuera de control.

Google detectó primero fragmentos del sistema en 2025, utilizados por lo que describió como "un cliente de una empresa de vigilancia digital".

Meses después apareció una versión más completa en una campaña de espionaje atribuida a un grupo vinculado con Rusia, que escondía el código malicioso dentro de páginas web ucranianas.

Más tarde, investigadores hallaron el mismo toolkit en una campaña completamente distinta: sitios de criptomonedas y apuestas en idioma chino que distribuían malware diseñado para robar fondos de billeteras digitales.

En ese último caso, iVerify estima que al menos 42.000 dispositivos pudieron haber sido infectados.

apple iphone 17

Un posible origen en herramientas de inteligencia

El análisis del código reveló similitudes con componentes usados en una operación conocida como Triangulation, descubierta en 2023 cuando infectó dispositivos de la firma de ciberseguridad Kaspersky.

En ese momento, el gobierno ruso atribuyó el ataque a la Agencia de Seguridad Nacional de Estados Unidos (NSA), una acusación que Washington DC nunca confirmó ni desmintió.

Además, investigadores detectaron que el código parece haber sido escrito por programadores angloparlantes y presenta características similares a otras herramientas atribuidas a operaciones de inteligencia occidentales.

Desarrollar un sistema como Coruna podría haber costado millones de dólares, según especialistas.

El riesgo de que las herramientas se filtren

El caso revive un temor conocido en el mundo de la ciberseguridad: Que herramientas creadas para espionaje estatal terminen en manos equivocadas.

Un antecedente famoso fue EternalBlue, una herramienta de hackeo desarrollada por la NSA que fue robada y filtrada en 2017. Ese exploit fue luego utilizado en ataques globales devastadores como WannaCry y NotPetya.

Algunos expertos creen que Coruna podría representar un momento similar para el ecosistema móvil.

El análisis del código reveló similitudes con componentes usados en la operación Triangulation, de 2023, que infectó dispositivos de la firma de ciberseguridad Kaspersky. — El análisis del código reveló similitudes con componentes usados en la operación **Triangulation**, de 2023, que infectó dispositivos de la firma de ciberseguridad Kaspersky.

Un mercado opaco de vulnerabilidades

El destino de estas herramientas muchas veces depende de un mercado internacional poco regulado de brokers de exploits, intermediarios que compran vulnerabilidades por millones de dólares y las revenden a gobiernos, empresas de vigilancia o incluso actores criminales.

Recientemente, un ejecutivo de la empresa estadounidense Trenchant fue condenado a 7 años de prisión por vender herramientas de hackeo a un intermediario ruso especializado en exploits de día 0.

En ese contexto, los investigadores creen posible que una herramienta originalmente creada para operaciones de inteligencia haya terminado circulando en el mercado clandestino.

Una vez que eso ocurre, advierten los especialistas, es muy difícil volver a controlar su uso.

-----------------------