La seguridad del ecosistema móvil vuelve a estar bajo presión tras una advertencia emitida por el Google Threat Analysis Group (TAG) sobre un sofisticado kit de explotación conocido como Coruna, diseñado específicamente para comprometer dispositivos iPhone y robar seed phrases de criptomonedas.
El descubrimiento revela un preocupante cambio en la naturaleza de las amenazas digitales: herramientas originalmente desarrolladas para operaciones de espionaje de nivel estatal ahora están siendo reutilizadas por ciberdelincuentes para robar activos financieros digitales. En este caso, el exploit Coruna se está utilizando para comprometer wallets de criptomonedas mediante ataques dirigidos a usuarios de iOS.
Según el informe técnico de Google, el kit aprovecha 23 vulnerabilidades diferentes en iOS, afectando versiones desde iOS 13.0 hasta iOS 17.2.1, lo que convierte a millones de dispositivos en objetivos potenciales. El ataque se centra en extraer las frases mnemónicas BIP39, que permiten recuperar y controlar completamente una wallet cripto.
Este descubrimiento pone de manifiesto una realidad cada vez más evidente en el sector de la ciberseguridad: las herramientas avanzadas de hacking están migrando desde operaciones de inteligencia hacia el robo masivo de criptomonedas.
TE PUEDE INTERESAR: Estafa con falsas llamadas de Zoom roban más de $300 millones en criptomonedas
El exploit Coruna es un kit de intrusión móvil altamente sofisticado que permite a los atacantes tomar control de dispositivos iPhone vulnerables con el objetivo de acceder a datos críticos relacionados con wallets de criptomonedas.
A diferencia de ataques tradicionales que buscan secuestrar archivos o instalar ransomware, Coruna tiene un único objetivo: robar seed phrases.
Las frases semilla o BIP39 seed phrases consisten en secuencias de entre 12 y 24 palabras que funcionan como la clave maestra de una wallet cripto. Si un atacante obtiene esta información, puede restaurar la wallet en otro dispositivo y transferir todos los fondos.
El exploit se activa cuando una víctima visita un sitio web comprometido, generalmente una página falsa relacionada con:
Al ingresar al sitio, el sistema ejecuta un framework JavaScript oculto que analiza el dispositivo del visitante para determinar si es vulnerable.
Si detecta un iPhone con una versión vulnerable de iOS, el exploit se despliega automáticamente.
Este tipo de ataque se conoce como drive-by compromise, ya que no requiere ninguna acción adicional del usuario.
El mecanismo de ataque de Coruna demuestra un nivel de ingeniería que normalmente solo se observa en herramientas utilizadas por actores estatales.
El proceso de infección ocurre en varias fases:
Un script malicioso analiza:
Si el dispositivo es vulnerable, el exploit se activa.
El kit utiliza vulnerabilidades de WebKit, el motor del navegador Safari, para ejecutar un ataque Remote Code Execution (RCE).
Esto permite ejecutar código malicioso directamente en el dispositivo.
Además, el exploit logra evadir el sistema de protección PAC (Pointer Authentication Code) de Apple, una de las barreras de seguridad más avanzadas de iOS.
Una vez dentro del sistema, el malware obtiene acceso a áreas críticas del sistema operativo, lo que le permite inspeccionar archivos y aplicaciones instaladas.
El objetivo principal es localizar información asociada a wallets cripto populares.
El malware analiza:
En particular, busca copias de seed phrases o códigos QR utilizados para respaldar wallets.
Una vez identificadas las frases semilla, el malware las transmite a servidores controlados por los atacantes a través de canales cifrados.
El proceso ocurre completamente en segundo plano, sin alertar al usuario ni provocar fallos visibles en el dispositivo.
El kit de explotación está diseñado para identificar datos asociados a wallets de autocustodia populares.
Entre las aplicaciones que pueden ser objetivo se encuentran:
Estas aplicaciones almacenan información local que, si no está protegida correctamente, puede ser analizada por el malware.
Esto incluye:
Para los atacantes, estas frases son el equivalente a las llaves de una bóveda digital.
TE PUEDE INTERESAR: TENGA CUIDADO: Usuarios de MetaMask en riesgo por estafa con suplantación de 2FA
Uno de los aspectos más preocupantes del descubrimiento de Coruna es su origen.
Según Google TAG, el exploit fue utilizado inicialmente en operaciones de ciberespionaje altamente dirigidas.
En ese contexto, las herramientas de explotación se empleaban contra objetivos estratégicos específicos.
Sin embargo, con el tiempo estas herramientas comenzaron a circular en mercados clandestinos de exploits.
Google atribuye la campaña actual a un actor conocido como UNC6691, un grupo motivado financieramente y vinculado a China.
Este grupo habría obtenido el kit completo tras su uso previo por parte de UNC6353, un actor de amenazas asociado con campañas de espionaje contra infraestructuras ucranianas.
La evolución del exploit muestra un patrón cada vez más común en la ciberseguridad global:
Este fenómeno convierte herramientas sofisticadas en armas accesibles para ciberdelincuentes.
El perfil de las víctimas de Coruna es relativamente específico.
Los ataques están dirigidos principalmente a usuarios que:
En particular, los usuarios que no han actualizado sus dispositivos más allá de iOS 17.2.1 son especialmente vulnerables.
Apple ya corrigió las vulnerabilidades explotadas por Coruna en iOS 17.3 y versiones posteriores.
Sin embargo, millones de dispositivos siguen utilizando versiones antiguas del sistema operativo.
Esto convierte a los usuarios desactualizados en objetivos ideales para los atacantes.
Los expertos en ciberseguridad coinciden en que existen varias medidas que pueden reducir significativamente el riesgo de ser víctima de este tipo de ataques.
La medida más importante es actualizar el dispositivo a iOS 17.3 o versiones posteriores, donde Apple ha parcheado las vulnerabilidades explotadas por Coruna.
Los ataques se activan principalmente a través de:
Evitar este tipo de páginas reduce considerablemente el riesgo.
Nunca se recomienda guardar frases semilla en:
Estas prácticas facilitan el robo de las claves.
Las hardware wallets ofrecen un nivel de seguridad mucho mayor, ya que requieren confirmación física para realizar transacciones.
Incluso si el teléfono está comprometido, los fondos permanecen protegidos.
Apple ofrece un modo de seguridad llamado Lockdown Mode, diseñado para proteger a usuarios que podrían ser objetivo de ataques sofisticados.
Este modo limita tecnologías web avanzadas como JavaScript JIT, que los exploits como Coruna utilizan para ejecutar código malicioso.
TE PUEDE INTERESAR: Malware Crocodilus: La nueva amenaza que pone en peligro las billeteras cripto en todo el mundo
El descubrimiento del exploit Coruna representa una señal de alerta para el ecosistema cripto y para la seguridad móvil en general.
A medida que las criptomonedas se convierten en activos cada vez más valiosos, los atacantes están adoptando herramientas más sofisticadas para robarlas.
La transición de exploits de espionaje a herramientas de robo financiero demuestra que las amenazas evolucionan rápidamente.
Para los usuarios de iPhone que gestionan criptomonedas, el mensaje es claro:
La seguridad del dispositivo es tan importante como la seguridad de la wallet.
Actualizar el sistema operativo, evitar sitios sospechosos y proteger las seed phrases ya no son simples recomendaciones: se han convertido en medidas esenciales para evitar perder los fondos digitales.
El caso Coruna demuestra que, en el mundo de las criptomonedas, una simple visita a un sitio web malicioso podría ser suficiente para perderlo todo.
La entrada ALERTA: Si tienes Iphone tus criptomonedas podrían estar en peligro según Google se publicó primero en Criptoinforme.
