Un conjunto de herramientas con 23 exploits capaces de comprometer iPhones directamente desde el navegador está cambiando nuestra concepción de la seguridad móvil.
Durante años, el ecosistema de Apple se ha considerado uno de los entornos móviles más seguros. Sin embargo, el descubrimiento del kit de exploits Coruna, documentado públicamente por investigadores de seguridad en 2026, demuestra que incluso las plataformas altamente protegidas pueden convertirse en objetivos de los atacantes.
Una investigación del Grupo de Inteligencia de Amenazas de Google reveló que Coruna es uno de los marcos de explotación de iOS más sofisticados documentados hasta la fecha. Los investigadores rastrearon la actividad relacionada con este marco hasta 2025, cuando campañas dirigidas comenzaron a utilizar estas cadenas de exploits para comprometer dispositivos móviles a través de sitios web maliciosos.
¿Qué es Coruna?
Coruna es un kit de exploits diseñado para comprometer dispositivos iPhone aprovechando múltiples vulnerabilidades del sistema operativo iOS. El framework incluye 23 exploits organizados en cinco cadenas de ataque, lo que permite a los operadores seleccionar automáticamente la técnica más efectiva según el dispositivo objetivo y su versión del sistema operativo.
Herramientas como esta reducen significativamente la complejidad de ejecutar ataques avanzados. En lugar de desarrollar exploits desde cero, los atacantes pueden confiar en un framework prefabricado que automatiza el proceso de explotación y aumenta la tasa de éxito de los ataques.
Las vulnerabilidades utilizadas por Coruna afectaban principalmente a dispositivos con versiones de iOS de la 13.0 a la 17.2.1, lanzadas entre 2019 y 2023, lo que significa que millones de dispositivos podrían haber estado potencialmente expuestos durante varios años.
¿Cómo funciona el ataque Coruna?
sigue una arquitectura similar a la de otros kits de exploits utilizados en ataques web, pero adaptada al ecosistema móvil.
**1. Identificación del dispositivo **
El ataque suele comenzar cuando la víctima visita un sitio web comprometido o controlado por los atacantes. Los scripts ejecutados en el navegador analizan el dispositivo para identificar:
- Modelo de iPhone Versión del sistema operativo
- Características del navegador
- Entorno de ejecución
Este proceso de identificación del dispositivo determina si el sistema es vulnerable y selecciona automáticamente la cadena de exploits más efectiva.
2. Ejecución de la cadena de exploits
Una vez identificado el dispositivo, el kit de exploits lanza una cadena de vulnerabilidades que puede incluir: Fallos en el motor WebKit utilizado por Safari Vulnerabilidades de escape de sandbox Técnicas de escalada de privilegios del kernel Al combinar estas vulnerabilidades, los atacantes pueden pasar de un simple script que se ejecuta en una página web a obtener el control privilegiado del sistema operativo del dispositivo.
3. Compromiso del dispositivo
Tras comprometer el sistema, el atacante puede desplegar una carga útil maliciosa o acceder directamente a la información confidencial almacenada en el dispositivo. Dependiendo de la campaña, el objetivo puede incluir:
- Vigilancia digital Robo de credenciales
- Acceso a información financiera
- Extracción de datos de aplicaciones instaladas
En algunas campañas observadas entre 2025 y 2026, los operadores utilizaron Coruna para robar credenciales y datos asociados a monederos de criptomonedas, lo que demuestra su potencial uso en ataques con fines financieros. De herramienta de vigilancia a ciberdelincuencia.Uno de los aspectos más preocupantes de Coruna es su evolución.
Los investigadores observaron que el mismo marco se repetía en diferentes tipos de operaciones:
- Campañas de vigilancia digital
- Ataques geopolíticos dirigidos
- Campañas delictivas centradas en el robo financiero
A medida que estos marcos se vuelven más accesibles, la barrera técnica necesaria para ejecutar ataques sofisticados disminuye, lo que permite que más ciberdelincuentes aprovechen capacidades que antes estaban limitadas a grupos altamente especializados.
Lo que Coruna revela sobre la seguridad digital
El caso de Coruna pone de relieve un cambio importante en nuestra comprensión de la seguridad móvil. Durante años, muchas arquitecturas de seguridad asumieron que los dispositivos móviles, especialmente dentro del ecosistema iOS, eran entornos relativamente seguros.
Sin embargo, plataformas de explotación como Coruna demuestran que la integridad de los dispositivos ya no se puede dar por sentada. Hoy en día, un atacante puede comprometer un dispositivo con una simple visita a un sitio web malicioso y operar desde un entorno que las aplicaciones perciben como una sesión legítima.
En este contexto, soluciones como SmartID ayudan a analizar estas señales en tiempo real para identificar dispositivos comprometidos, entornos manipulados o automatización maliciosa, incluso cuando se utilizan credenciales válidas.