La seguridad habitual que muchos usuarios atribuyen al iPhone ha sido cuestionada por un nuevo vector de ataque orientado a las criptomonedas. Un informe del TAG de Google identifica al llamado kit de explotación Coruna como responsable de abusar de hasta 23 vulnerabilidades de iOS para comprometer navegadores y extraer activos digitales.
Los investigadores describen un método silencioso: al visitar una página manipulada, el exploit puede ejecutar código sin interacción aparente del usuario para rastrear archivos, fotografías y notas en busca de información sensible. El objetivo principal son las wallets de autocustodia y los datos que permiten reconstruir su acceso, como las frases semilla BIP39.
Qué es Coruna y por qué preocupa
Coruna no es un simple adware ni un troyano tradicional; se trata de un paquete de explotación modular que combina fallos en WebKit con técnicas de escalada de privilegios locales para salir del sandbox del navegador y ejecutar tareas fuera del entorno restringido.
Según el análisis, las versiones afectadas abarcan desde iOS 13.0 hasta 17.2.1, lo que deja a una amplia base de usuarios en riesgo si no han actualizado.
Mecanismo de acción
El vector típico es una «inyección de un clic»: el usuario accede a una web que simula un servicio legítimo —por ejemplo, una plataforma de juegos o una noticia— y en ese momento se dispara la cadena de explotación. El kit escanea el sistema de archivos buscando patrones relacionados con criptodivisas, busca en la galería imágenes que contengan códigos QR y examina notas en busca de frases mnemotécnicas. Si detecta credenciales, procede a extraerlas y transferir fondos antes de que la víctima perciba la intrusión.
De herramientas estatales a mercados delictivos
Históricamente, cadenas de explotación con esta complejidad eran exclusivas de empresas de alta gama en vigilancia gubernamental. Coruna representa una transición peligrosa: técnicas que antes se reservaban a operaciones dirigidas se han empaquetado y puesto al alcance de actores criminales que buscan liquidez rápida. Informes previos, como los que mencionan campañas tipo Operation Triangulation, muestran cómo exploits avanzados pueden filtrarse y transformarse en instrumentos de fraude masivo.
Impacto en el mercado
La profesionalización del robo de criptoactivos ya tiene consecuencias cuantiosas. Fuentes del sector indican que el mercado de robo de criptomonedas alcanza cifras muy altas (por ejemplo, estimaciones de Chainalysis en 2026 mencionaron valores millonarios del mercado delictivo), y herramientas como Coruna alimentan ese fenómeno al facilitar el saqueo a gran escala. Empresas de seguridad han documentado decenas de miles de unidades potencialmente afectadas.
Quién está en riesgo y medidas recomendadas
El blanco más claro son los operadores móviles que usan wallets de autocustodia desde su iPhone y que interactúan con DApps o firmas de transacciones sobre la marcha. Directorios y archivos asociados a aplicaciones como MetaMask, BitKeep/Bitget Wallet y Trust Wallet son investigados por el malware en busca de claves y archivos cifrados. Además, guardar contraseñas en notas o llaveros con cifrado débil facilita el acceso a los atacantes.
Prácticas de protección
Para reducir el riesgo inmediato, especialistas recomiendan trasladar fondos significativos a soluciones de almacenamiento en frío como Ledger o Trezor, actualizar iOS a la versión más reciente disponible y evitar navegar en sitios de procedencia dudosa desde el dispositivo que contiene activos. También es prudente emplear frases semilla guardadas fuera de dispositivos conectados y revisar permisos otorgados a extensiones o aplicativos de navegador.
Acciones adicionales
Otras mitigaciones incluyen deshabilitar funciones innecesarias del navegador, usar navegadores y aplicaciones oficiales, realizar auditorías periódicas del sistema de archivos y recurrir a soluciones de seguridad móvil que detecten comportamientos anómalos. Ante la sospecha de compromiso, desconectar inmediatamente el dispositivo de redes y consultar a profesionales de respuesta a incidentes puede limitar pérdidas.
Coruna ilustra cómo la evolución de las amenazas digitales puede convertir exploits sofisticados en herramientas de saqueo masivo. Mantener sistemas actualizados, practicar una higiene estricta en la gestión de claves y optar por dispositivos o métodos de almacenamiento que reduzcan la exposición son pasos esenciales para proteger activos en el ecosistema cripto.