Coruna, una herramienta de hacking para iPhone vinculada a operaciones estatales de Estados Unidos, terminó siendo usada por espías y ciberdelincuentes, reabriendo el debate sobre acumulación de exploits y seguridad global.
Una herramienta de hacking para iPhone que investigadores de Google y IVerify vinculan con operaciones gubernamentales de Estados Unidos, terminó en las manos de espías y ciberdelincuentes, reabriendo un dilema viejo pero cada vez más urgente.
La capacidad estatal para desarrollar y acumular exploits ofensivos, – formas de aprovecharse de vulnerabilidades del código y la programación del software – en lugar de reportarlos para que sean parcheados, – Es decir, que sean arreglados para que no hayan brechas de seguridad, ataques, etc. – no es un problema que es solo de seguridad nacional, sino de seguridad global. Google, iVerify y varios reportes de prensa coinciden en que el toolkit (el código diseñado para aprovecharse de las vulnerabilidades que se encuentran en el software), conocido como Coruna, fue usado en 2025 en operaciones dirigidas y luego apareció en campañas más amplias con fines criminales.
De operación encubierta a herramienta criminal
Es un conjunto de herramientas de hacking pensado para operaciones del gobierno estadounidense que terminó reutilizado por cibercriminales. Según Google, Coruna fue identificado primero en febrero de 2025 durante un intento de acceso de un spyware — Software espía — ejecutado por un proveedor de vigilancia para un cliente gubernamental. Meses después, el mismo arsenal apareció en ataques contra usuarios ucranianos atribuidos a un grupo de espionaje ruso, y más tarde en una campaña criminal en China con fines de robo económico.
La herramienta de hacking, diseñada para iPhone, no es irrelevante. Google señaló que Coruna encadena 23 vulnerabilidades en cinco cadenas de explotación distintas y puede comprometer iPhones con iOS entre la versión 13 y la 17.2.1 simplemente con visitar un sitio malicioso en un esquema tipo watering hole o ataque de abrevadero — Es un ataque en el que los cibercriminales comprometen la seguridad de un sitio web que, generalmente es usado por grupos específicos de la población, como empleados de una empresa —. Por otro lado, el toolkit parece evitar dispositivos con Lockdown Mode activado y que las técnicas confirmadas no afectarían a quienes estén en versiones recientes del sistema.
Lo que llama la atención de Coruna
Lo verdaderamente delicado no es solo la sofisticación técnica de ésta herramienta de hacking para Iphone, sino los rastros que ha dejado que han permitido su vinculación al gobierno estadounidense. iVerify lo confirma al haber vinculado Coruna a herramientas antes atribuidas a Estados Unidos.
Lo anterior toma peso después de que el ex director de L3Harris Trenchant, Peter Williams, contratista del hoy Departamento de Guerra de los Estados Unidos, quien fue condenado a más de siete años de prisión después de declararse culpable y confesar el robo y venta de exploits a un intermediario conocido por trabajar con el Gobierno Ruso. La atribución definitiva sigue sin estar cerrada, pero el cuadro general ya es suficientemente grave.
El precedente que recuerda a EternalBlue
El caso inevitablemente recuerda a EternalBlue, la herramienta de hacking ofensiva atribuida a la NSA que terminó filtrada y luego fue reutilizada en ataques como WannaCry y NotPetya. Este antecedente nos permite recordar que, en 2017, estas herramientas, que fueron desarrolladas para comprometer sistemas Windows, fueron robadas y luego usadas en campañas devastadoras a nivel global.
La lección de este suceso es que, cuando una vulnerabilidad se retiene para fines ofensivos, incluso por una potencia con fuertes capacidades defensivas como Estados Unidos, el riesgo es que tarde o temprano termine convertida en infraestructura de daño masivo a escala global.
Coruna parece encajar en esa misma lógica, aunque desde el terreno móvil. Los gobiernos suelen justificar la acumulación y no comunicación de fallas de seguridad y el desarrollo de exploits como una necesidad de inteligencia o de operaciones encubiertas.
Sin embargo, el problema es que esa decisión traslada dicho riesgo al resto del mundo y muy a menudo, a poblaciones como periodistas, activistas, funcionarios públicos, etc. Quienes siguen expuestos mientras éstos no actualizan su hardware y software. Cuando esta herramienta de hacking para iPhone salió de ese entorno, el riesgo dejó de ser estratégico y se hizo social, económico y transnacional.
Seguridad nacional versus seguridad global
El caso Coruna permite que nos cuestionemos: ¿es razonable que los gobiernos acumulen fallas explotables en software ampliamente usado, en vez de reportarlas al fabricante? Si bien retener una vulnerabilidad ofrece ventajas de inteligencia estatal, desde una lógica de seguridad y privacidad, la respuesta se vuelve incómoda, dado que estas herramientas pueden ser usadas contra la misma población y, como vemos, son una puerta abierta para que acaben en manos equivocadas, ya sea por filtración, reventa, robo interno o mala custodia.
Qué deberían hacer ahora los usuarios de Apple
Apple no detalla cuántos usuarios de iPhone siguen en versiones inferiores a iOS 17.2.1, pero sus cifras oficiales de adopción muestran que, decenas de millones de dispositivos todavía permanecen en ramas anteriores a la 17.2.1. Dado que Coruna afectó versiones entre iOS 13 y 17.2.1, eso sugiere que el universo potencialmente expuesto aún podría ser significativo, aunque no exista un desglose público exacto por versión.
Para usuarios de iPhone y del ecosistema Apple, la recomendación principal es actualizar de inmediato a la versión más reciente de iOS disponible para su equipo. Las técnicas confirmadas de Coruna no funcionan, según lo publicado, contra versiones actuales parchadas. En segundo lugar, quienes tengan perfiles de mayor riesgo —periodistas, activistas, abogados, funcionarios, ejecutivos o personas expuestas a campañas dirigidas— deberían considerar activar Lockdown Mode, una función que precisamente Coruna parece detectar y evitar.
Esta herramienta de hacking para iPhone conocida como Coruna, es una prueba de que la frontera entre capacidades estatales y amenazas criminales puede romperse más rápido de lo que los gobiernos suelen admitir. Y cuando eso ocurre, la vulnerabilidad ya no pertenece al terreno de la inteligencia: pasa a formar parte del riesgo cotidiano de millones de usuarios.
Mantente al día con las últimas noticias de cibercriminales y ciberataques en @Hackernoticia a través de nuestras redes sociales.