¡
Google revela que el paquete de iOS Coruna contiene 23 vulnerabilidades, que han ingresado al mercado negro desde herramientas de vigilancia estatales, enfocándose en activos cifrados en iPhone y robando claves privadas mediante técnicas de zero-click.
De herramientas de vigilancia a “máquinas de cosecha de activos”
Según un informe profundo publicado por el Grupo de Inteligencia de Amenazas de Google (GTIG), el paquete de vulnerabilidades de iOS denominado Coruna (también conocido como CryptoWaters) representa una amenaza grave para los usuarios de iPhone en todo el mundo. La trayectoria de desarrollo de esta herramienta es sumamente dramática: fue descubierta por primera vez en febrero de 2025, cuando era proporcionada por empresas privadas de vigilancia a clientes gubernamentales, específicamente para monitoreo preciso de políticos y disidentes. Posteriormente, en verano de 2025, un grupo de hackers vinculado al gobierno ruso, UNC6353, tomó control del paquete y lo utilizó para actividades de espionaje geopolítico dirigidas a ciudadanos ucranianos.
Fuente: Línea de tiempo del descubrimiento de Coruna por Google
Con la expansión de la tecnología, esta herramienta profesional, que costó millones de dólares en desarrollo, ha ingresado oficialmente al mercado del crimen cibernético. A finales de 2025 y principios de 2026, un grupo de hackers chino, UNC6691, adquirió esta tecnología y cambió su enfoque hacia el saqueo de activos digitales. Esto simboliza la comercialización de herramientas de espionaje de alto nivel, que pasaron de obtener inteligencia dirigida a objetivos específicos a realizar robos masivos de riqueza a usuarios comunes de criptomonedas. Los investigadores señalan que los hackers están dispuestos a invertir costos tecnológicos elevados, lo que demuestra que las ganancias potenciales de los activos cifrados son lo suficientemente grandes como para impulsar la transferencia de tecnología profesional hacia el crimen financiero.
Cadena de 23 vulnerabilidades: infiltración silenciosa oculta tras “charcos”
El paquete Coruna cuenta con un nivel de automatización y sigilo extremadamente alto, integrando 23 vulnerabilidades independientes que conforman una cadena de ataque completa de 5 etapas. Su alcance es amplio, afectando todos los dispositivos iPhone y iPad con iOS desde la versión 13.0 hasta la 17.2.1. Los hackers emplean ataques de “charco de agua” (Watering Hole Attack), infiltrándose o creando sitios web falsos de intercambios de criptomonedas y plataformas financieras para atraer a las víctimas. Estos sitios, como la plataforma falsa de WEEX, lucen y funcionan casi igual que los originales, incluso optimizados en buscadores y con publicidad pagada para aumentar su exposición.
Fuente: Plataforma falsa de WEEX detectada por Google
Cuando un usuario de iPhone visita estas páginas contaminadas, un script en segundo plano ejecuta inmediatamente la identificación del dispositivo. El sistema verifica silenciosamente la versión de iOS; si detecta que la versión está dentro del rango de ataque, se activa automáticamente una vulnerabilidad de zero-click para infiltrarse sin que el usuario tenga que interactuar o hacer clic en ningún enlace de descarga. Algunas páginas falsas incluso muestran mensajes que sugieren usar el dispositivo iOS para una mejor experiencia, pero en realidad están diseñadas para focalizar objetivos vulnerables que no hayan actualizado su sistema.
Incluso las capturas en álbumes de fotos no están a salvo
Una vez que Coruna obtiene acceso al dispositivo, su malware PlasmaLoader se activa para realizar un inventario de los activos digitales del usuario. Este programa tiene capacidades de escaneo muy potentes, buscando palabras clave específicas como “backup phrase”, “bank account” o “seed phrase”, y extrayendo datos clave de mensajes de texto y notas. Además, cuenta con reconocimiento de imágenes para escanear automáticamente capturas en la galería, buscando códigos QR que contengan semillas de recuperación o claves privadas.
Además de la recopilación de datos estáticos, Coruna también ataca aplicaciones populares de monederos de criptomonedas como MetaMask y Uniswap. Los hackers intentan extraer información sensible para obtener control total sobre las billeteras. En múltiples casos conocidos, los fondos de las víctimas se transfirieron en poco tiempo tras acceder a sitios falsos. Dado que el ataque se dirige a permisos de bajo nivel del sistema, cualquier rastro digital de la clave privada en el teléfono es vulnerable a esta herramienta de espionaje de nivel avanzado.
Fuente: Google lista todas las aplicaciones que podrían ser atacadas por malware
Reglas de defensa y guía de supervivencia: la actualización del sistema es clave para la seguridad
Frente a amenazas tan sofisticadas, los usuarios de iPhone deben adoptar medidas de protección claras. El informe de Google indica que Coruna no funciona en iOS 17.3 o versiones superiores. Aunque el sistema ya ha sido actualizado a versiones más recientes, algunos usuarios aún no han actualizado por motivos de hardware antiguo o falta de espacio, quedando expuestos a riesgos. Para los modelos antiguos que no puedan actualizarse a versiones seguras, activar el “Modo de bloqueo” (Lockdown Mode) proporcionado por Apple es una medida efectiva; si el malware detecta que este modo está activo, detiene su funcionamiento para evitar ser rastreado.
Los expertos en seguridad recomiendan que los poseedores de criptomonedas sigan reglas básicas de supervivencia. La protección principal es usar monederos hardware (como Ledger o Trezor), manteniendo las claves privadas siempre offline y sin contacto con el entorno iOS. Además, deben eliminar inmediatamente todas las capturas que contengan semillas o claves privadas en sus álbumes, y realizar copias de seguridad en medios físicos offline.
Aunque Coruna evita el modo de navegación privada para reducir la detección, esto solo puede ser una medida temporal. En un contexto donde el valor de los activos digitales sigue creciendo, mantener el sistema actualizado y la conciencia de seguridad es una obligación básica para todos los inversores.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Carrot Protocol detiene sus operaciones en Solana; los usuarios tienen hasta el 14 de mayo para retirar fondos
Según Foresight News, Carrot, un protocolo de rentabilidad apalancada en Solana, anunció hoy que detendrá sus operaciones debido al impacto del hack del protocolo Drift. Los usuarios pueden retirar los fondos restantes de Boost, Turbo y CRT hasta el 14 de mayo. Después de esa fecha, el protocolo comenzará gradualmente
GateNewsHace5m
Syndicate pierde $380K en activos debido a una filtración de clave privada; los contratos del puente se actualizaron maliciosamente el 1 de mayo
De acuerdo con la declaración oficial de Syndicate del 1 de mayo, una filtración de clave privada provocó actualizaciones maliciosas de contratos de puente en dos blockchains, lo que resultó en el robo de aproximadamente 18,5 millones de tokens SYND (con un valor de 330K USD) y $50K en activos de clientes. La empresa atribuyó la vulnerabilidad a priva
GateNewsHace51m
Hackers norcoreanos drenan 285 millones de dólares de Drift en una operación de varios meses
Según el análisis de la firma de investigación de inteligencia de seguridad, los hackers respaldados por el Estado norcoreano drenaron 285 millones de dólares de Drift mediante una operación prolongada en persona en 2026. Los hackers representan el 76% de todas las pérdidas por estafas y hackeos de criptomonedas de este año y han robado 6 mil millones
GateNewshace1h
El exchange cripto Grinex fue drenado de 13,7 millones de dólares en abril de 2026 y sus operaciones fueron suspendidas
Según una investigación de Global Ledger publicada en abril de 2026, Grinex, un intercambio de criptomonedas sancionado que opera desde Kirguistán, fue drenado de aproximadamente 13,7 millones de dólares y suspendió inmediatamente sus operaciones. Grinex había surgido en marzo de 2025 como un aparente sucesor de Garantex, un
GateNewshace4h
La filtración de la clave privada de Syndicate Labs conduce a un drenaje $330K SYND el 1 de mayo; la empresa se compromete a reembolsar el 100%
De acuerdo con Syndicate Labs, el 1 de mayo una filtración de clave privada provocó actualizaciones maliciosas en los contratos del puente entre cadenas de la compañía en dos blockchains. Los atacantes drenaron aproximadamente 18,5 millones de tokens SYND (con un valor de alrededor de 330.000 dólares) y cerca de 50.000 dólares en tokens de usuarios. El incidente solo afectó a
GateNewshace9h
