El panorama de seguridad para usuarios de iPhone que manejan activos digitales ha cambiado. Un informe del TAG de Google detectó un conjunto de herramientas llamado kit de explotación Coruna que aprovecha hasta 23 vulnerabilidades de iOS para comprometer navegadores y robar fondos de wallets de criptomonedas.
Esta campaña no se limita a publicidad intrusiva o bloqueos: automatiza la extracción de frases semilla BIP39, captura códigos QR y recupera claves privadas desde dispositivos que no han sido parchados.
La operación es de una eficiencia notable: un solo clic en un sitio manipulado puede desencadenar una cadena de explotación que vence las protecciones del sistema y permite a los atacantes descargar un drenador de wallets.
Para quienes usan su iPhone en trading o custodian activos en aplicaciones móviles, entender el funcionamiento de Coruna y cómo mitigarlo es fundamental.
Cómo opera el kit de explotación Coruna
El vector inicial suele ser un sitio web comprometido que se hace pasar por una plataforma legítima, como portales de noticias o páginas de juegos de azar.
Al visitar la página, el navegador —frecuentemente WebKit en iOS— es explotado mediante vulnerabilidades remotas para ejecutar código malicioso. Posteriormente, Coruna ejecuta exploits de escalada de privilegios para romper el sandbox del navegador y acceder al sistema de archivos y a recursos sensibles del dispositivo.
Métodos de exfiltración de datos
Una vez dentro, el malware recorre el dispositivo buscando indicadores relacionados con criptodivisas: nombres de archivos, cadenas en aplicaciones, imágenes en la biblioteca de fotos que contengan códigos QR, y notas donde el usuario pudiera haber guardado una frase mnemotécnica. Estas acciones están automatizadas y diseñadas para actuar con rapidez, de modo que los fondos pueden transferirse a direcciones controladas por los atacantes antes de que el propietario detecte el compromiso.
Alcance técnico y versiones afectadas
El análisis del TAG de Google abarca dispositivos con versiones de iOS 13,0 a 17,2,1, donde Coruna aprovecha múltiples puntos de entrada y combina distintos exploits en cadena para maximizar el éxito. Tradicionalmente, este tipo de cadenas complejas estaban asociadas a herramientas de vigilancia de alto nivel —empleadas por actores estatales— pero Coruna representa una comercialización o reutilización de esas capacidades con fines de robo masivo.
Por qué es especialmente peligroso
El peligro radica en la rapidez y en la especificidad del ataque. Al apuntar directamente a frases semilla BIP39 y a claves privadas, el exploit no depende de técnicas de phishing persistente; reemplaza la necesidad de engañar al usuario con la capacidad técnica de extraer credenciales en el propio dispositivo. Además, muchas transacciones en blockchain son irreversibles, lo que convierte cualquier filtración en pérdida definitiva.
Contexto del mercado y precedentes
El informe llega en un contexto en el que los robos de criptomonedas representan una porción importante del mercado ilícito. Según Chainalysis, el mercado del robo de criptomonedas estaba valorado en más de 75.000 millones de USD, y los drenadores de wallets emergen como una de las principales herramientas para monetizar esos ataques. Coruna intensifica esta tendencia al convertir técnicas de vigilancia avanzada en kits reproducibles por actores con motivaciones económicas.
Implicaciones para usuarios y desarrolladores
Para el usuario final, la recomendación obvia es mantener el dispositivo actualizado y evitar visitar enlaces o sitios de dudosa procedencia. Para desarrolladores y equipos de seguridad, es imperativo auditar el uso de bibliotecas web, endurecer la gestión de datos en aplicaciones de wallet y diseñar mecanismos que minimicen el almacenamiento de frases y claves en texto plano o en aplicaciones no cifradas.
Medidas prácticas de protección
Entre las defensas recomendadas figuran: aplicar las actualizaciones de iOS tan pronto como estén disponibles, usar wallets hardware para custodiar cantidades significativas, activar autenticación multifactor en servicios relacionados y almacenar las frases semilla fuera del dispositivo móvil (por ejemplo, en soportes físicos seguros). Además, revisar permisos de aplicaciones y restringir el acceso del navegador a archivos sensibles reduce la superficie de ataque.
Coruna demuestra que las herramientas sofisticadas pueden salir del ámbito de la vigilancia dirigida y convertirse en instrumentos de robo masivo. La combinación de exploits en cadena y la focalización a datos críticos de blockchain exigen una respuesta coordinada: actualizaciones de seguridad, mejores prácticas de custodia y mayor conciencia entre los usuarios de criptomonedas.