- Coruna es un kit de explotación para iPhone ligado a un contratista de defensa de EE.UU. y hoy usado por espías rusos y ciberdelincuentes chinos.
- El toolkit encadena 23 vulnerabilidades de iOS (de iOS 13 a 17.2.1) para espiar, robar datos y vaciar carteras de criptomonedas.
- Su circulación ilustra cómo herramientas estatales pueden filtrarse vía intermediarios como Operation Zero y acabar en operaciones rusas y chinas.
- El caso plantea serias dudas sobre la gobernanza de las ciberarmas y la seguridad de millones de usuarios de iPhone en Europa y el resto del mundo.
La imagen de los iPhone como dispositivos casi inexpugnables lleva años sustentando parte de la reputación de Apple, hasta el punto de que la OTAN ha validado algunos modelos de iPhone y iPad para manejar información clasificada. Esa confianza, muy arraigada entre usuarios en España y el resto de Europa, se tambalea ahora con la aparición de un kit de hacking de nivel estatal que ha terminado en manos de espías rusos y grupos criminales chinos.
Ese arsenal, bautizado como Coruna, ha sido analizado por equipos de Google, iVerify y otras firmas de seguridad. Todo apunta a que su origen estaría en la división de hacking y vigilancia de la contratista militar estadounidense L3Harris, conocida como Trenchant, y que una filtración habría permitido que espías rusos y redes de robo de criptomonedas lo usen hoy contra usuarios de iPhone de todo el mundo.
Qué es realmente Coruna y cómo funciona este kit de hacking para iPhone
Coruna no es un simple virus, sino un kit de explotación completo diseñado específicamente para iPhone. Según el Grupo de Inteligencia de Amenazas de Google (TAG/GTIG) y la empresa de seguridad móvil iVerify, se trata de un conjunto de 23 componentes que encadenan vulnerabilidades y técnicas avanzadas para tomar el control de un dispositivo con apenas una visita a un sitio web comprometido.
Los análisis técnicos indican que Coruna contiene hasta cinco cadenas de explotación distintas contra iOS, que permiten atacar versiones desde iOS 13.0 hasta iOS 17.2.1, es decir, terminales lanzados entre finales de 2019 y diciembre de 2023. Este abanico incluye a buena parte de los modelos de iPhone en circulación en Europa, especialmente entre quienes no actualizan con frecuencia el sistema operativo.
El vector de ataque principal se basa en los denominados ataques de abrevadero (watering hole): los atacantes comprometen páginas legítimas —desde medios ucranianos hasta sitios de criptomonedas y juego online— e insertan código malicioso capaz de reconocer el modelo de iPhone y su versión de iOS. A partir de ahí, Coruna selecciona la cadena de exploits adecuada y ejecuta el ataque sin necesidad de que el usuario haga clic en nada.
Una vez que el dispositivo está comprometido, los atacantes pueden desplegar módulos adicionales, como el conocido PlasmaLoader, especializado en robo financiero. Con ese componente es posible leer códigos QR de aplicaciones de pago, interceptar texto sensible, cargar nuevos módulos para vaciar carteras de criptomonedas y exfiltrar información privada almacenada en el teléfono.
Investigadores de iVerify han llegado a calificar esta campaña como el primer ataque masivo contra iOS de este tipo, tanto por número de vulnerabilidades encadenadas como por la escala de infecciones, estimadas en decenas de miles de dispositivos en todo el mundo.
De contratista militar de EE.UU. a espías rusos: el papel de L3Harris y Trenchant
El origen de Coruna se rastrea hasta un proveedor de herramientas de vigilancia gubernamental no identificado, pero las piezas empiezan a encajar cuando entran en escena L3Harris y su división Trenchant. Dos exempleados de la empresa, entrevistados bajo condición de anonimato, han explicado que Coruna era un nombre interno de uno de los componentes desarrollados por Trenchant para sus clientes.
Uno de esos antiguos trabajadores aseguró que varios detalles técnicos publicados por Google sobre el kit coincidían con lo que había visto de primera mano en su etapa en la compañía. El segundo confirmó que parte del material analizado por los investigadores correspondía a herramientas salidas de los laboratorios de Trenchant, donde se concentra buena parte del negocio de explotación y vigilancia digital de L3Harris.
Trenchant tiene un modelo de negocio muy claro: vende sus kits de hacking exclusivamente al gobierno de Estados Unidos y a sus aliados de la alianza de inteligencia Five Eyes (Australia, Canadá, Nueva Zelanda y Reino Unido). Esto implica que, en teoría, Coruna estaba pensado para operaciones de inteligencia reguladas y dirigidas, no para terminar en foros clandestinos ni en manos de Estados adversarios.
La hipótesis que manejan expertos como Rocky Cole, cofundador de iVerify y antiguo empleado de la Agencia de Seguridad Nacional de EE.UU. (NSA), es que Coruna fue concebido como parte de un framework de explotación de uso gubernamental, vendido a agencias estadounidenses y aliadas. En algún punto de ese ciclo, parte del arsenal habría salido de su cauce original, de forma similar a lo que ocurrió con herramientas de la NSA filtradas por Shadow Brokers hace casi una década.
A día de hoy, L3Harris no ha querido comentar estos señalamientos, y no existe confirmación oficial por parte del gobierno estadounidense. Sin embargo, las similitudes de código con otras operaciones atribuidas informalmente a Washington, la cronología de uso y los testimonios de extrabajadores apuntan en la misma dirección.
Operation Zero, Peter Williams y la vía rusa de Coruna
La gran incógnita es cómo un kit desarrollado para socios del bloque occidental ha acabado integrando las campañas de un grupo de espionaje vinculado a Rusia. Una de las pistas más sólidas la ofrece el caso de Peter Williams, exgerente de Trenchant, cuya historia ha salido a la luz recientemente en Estados Unidos.
Williams, ciudadano australiano de 39 años, fue condenado a siete años de prisión tras admitir que había robado y vendido ocho herramientas de hacking de Trenchant a la firma rusa Operation Zero. A cambio, recibió alrededor de 1,3 millones de dólares. Los fiscales estadounidenses le acusaron de traicionar a su país y a sus aliados al poner en circulación exploits que podían abrir la puerta a millones de dispositivos en todo el mundo.
Operation Zero, una empresa rusa especializada en la compra de exploits de día cero, fue sancionada recientemente por el Departamento del Tesoro de EE.UU. La compañía asegura trabajar exclusivamente con el gobierno ruso y empresas locales, pero las autoridades estadounidenses sostienen que al menos una de las herramientas vendidas por Williams acabó en manos de un usuario no autorizado, lo que sugiere una cadena de reventa difícil de rastrear.
Esa red de intermediarios explicaría cómo el grupo de espionaje ruso identificado por Google como UNC6353 habría conseguido acceso a Coruna. Según el GTIG, este grupo implantó el kit en sitios web ucranianos comprometidos, de modo que ciertos visitantes desde iPhone —seleccionados por geolocalización o por páginas concretas— quedaran expuestos al ataque sin percatarse de nada.
Para Moscú, el uso de un arsenal de este nivel encaja con una estrategia más amplia de ciberespionaje contra Ucrania y contra países de la OTAN. Servicios de inteligencia europeos, incluidos los de los Países Bajos, han alertado en los últimos años de intentos rusos de comprometer comunicaciones en apps como Signal o WhatsApp, especialmente en instituciones gubernamentales.
Del espionaje al robo de criptomonedas: la expansión del kit a China
La historia de Coruna no termina en Rusia. Después de su uso en campañas discretas de espionaje, el mismo kit terminó en manos de ciberdelincuentes chinos con motivación económica. A partir de ese momento, los objetivos dejaron de ser únicamente figuras políticas o personal de empresas estratégicas, y se extendieron a usuarios corrientes de iPhone, sobre todo relacionados con el mundo cripto.
La empresa iVerify, que colaboró estrechamente con Google para analizar el alcance de los ataques, ha documentado que en las campañas desplegadas en China podrían haberse infectado unos 42.000 iPhone. La mayoría de las víctimas habrían llegado a los sitios maliciosos a través de páginas de criptomonedas, plataformas de intercambio o webs de apuestas en línea.
En este escenario, Coruna se empleó de forma intensiva para robar carteras de criptomonedas, credenciales de acceso a servicios de intercambio y otros datos que permitían el vaciado de fondos. El malware instalado tras la explotación era capaz de leer la información mostrada en pantalla, procesar códigos QR de pago, interceptar mensajes de verificación y enviar toda esa información a servidores controlados por los atacantes.
Esta evolución de una herramienta de espionaje estatal hacia fraude financiero masivo es lo que más preocupa a la comunidad de ciberseguridad. Firmas europeas especializadas en protección de activos digitales alertan de que, si un kit de estas características sigue circulando en el mercado gris de exploits, podría adaptarse para atacar nuevas versiones de iOS o incluso otros sistemas.
El Departamento del Tesoro de EE.UU. ha señalado que, al menos en un caso, un miembro de la conocida banda de ransomware Trickbot habría colaborado con Operation Zero. Ese vínculo refuerza la idea de que las ciberarmas se mueven entre espionaje político y crimen organizado con bastante facilidad, sin que exista un muro claro entre ambos mundos.
La conexión con Operation Triangulation y las dudas sobre la autoría
Otra pieza clave del rompecabezas es la relación técnica entre Coruna y la llamada Operation Triangulation, una campaña de espionaje contra iPhones revelada por Kaspersky en 2023. En aquella ocasión, la empresa rusa de ciberseguridad describió una cadena de zero days muy sofisticada que afectaba a dispositivos iOS de sus propios empleados, supuestamente orientada a robar mensajes, datos de localización y otra información sensible.
Investigadores de Google han señalado que Coruna y Triangulation comparten el uso de dos vulnerabilidades concretas, apodadas Photon y Gallium. Estas fallas formaban parte de las cadenas de ataque empleadas tanto en los incidentes estudiados por Kaspersky como en el kit analizado ahora por Google e iVerify, lo que sugiere una reutilización de las mismas piezas en campañas diferentes.
Rocky Cole sostiene que la cronología de las filtraciones, la estructura modular de Coruna y la coincidencia de exploits encajan con la idea de que una empresa como Trenchant estuviera detrás del desarrollo original. También menciona que en determinados círculos de defensa se da por hecho que módulos como Plasma habrían sido utilizados en Triangulation, aunque no existe confirmación pública.
Desde Kaspersky, el investigador Boris Larin ha pedido prudencia. Recuerda que el uso compartido de Photon y Gallium por sí solo no basta para atribuir una operación a un actor específico, porque los detalles técnicos de esas vulnerabilidades llevan tiempo disponibles en la comunidad de seguridad. En su opinión, esas coincidencias son «la punta del iceberg», útiles para unir puntos, pero insuficientes para un veredicto definitivo.
Curiosamente, el logo diseñado por Kaspersky para ilustrar Operation Triangulation —una manzana formada por triángulos— recuerda visualmente al logotipo de L3Harris, también basado en figuras triangulares. Algunas voces del sector creen que este guiño gráfico no sería casual y que podría expresar, de forma sutil, la opinión interna de Kaspersky sobre la autoría del ataque, sin llegar a pronunciarse explícitamente.
Impacto para usuarios de iPhone en España y Europa
Más allá de la geopolítica, Coruna tiene implicaciones claras para los usuarios europeos de iPhone, incluidos los de España. La combinación de campañas de espionaje en Ucrania y de robo de criptomonedas en Asia demuestra que no hace falta ser diplomático ni trabajar en un ministerio para acabar en el punto de mira de herramientas de nivel estatal.
En países de la UE, donde el uso de iPhone es alto tanto entre particulares como entre directivos de empresas, estos ataques ponen en cuestión la idea de que «con Apple estoy siempre seguro» y recuerdan riesgos como la suplantación biométrica. Aunque la compañía ha corregido ya las vulnerabilidades explotadas en Coruna en versiones recientes de iOS, millones de dispositivos podrían seguir ejecutando versiones antiguas, mucho más expuestas.
Las autoridades europeas han puesto el foco en los últimos años en el uso de spyware comercial contra periodistas y políticos —con casos como Pegasus o los escándalos de espionaje en varios países de la UE—, pero el caso Coruna introduce un matiz adicional: aquí no se trata solo de vigilancia política, sino también de robo directo de dinero y criptoactivos. Esa mezcla complica la respuesta regulatoria y obliga a un enfoque más amplio de la ciberseguridad.
Para las empresas españolas que trabajan con datos sensibles, desde despachos de abogados a startups fintech, esto se traduce en la necesidad de revisar políticas de actualización de dispositivos, segmentación de información y formación interna. Un iPhone desactualizado usado como móvil de empresa puede convertirse en una puerta de entrada a documentación confidencial, chats corporativos o cuentas de acceso a servicios críticos.
En paralelo, el caso alimenta el debate en Bruselas sobre cómo controlar la exportación de herramientas de hacking, incluidas las desarrolladas por compañías de terceros países que operan en la UE. La Unión ya ha endurecido el marco para el spyware, pero el ejemplo de Coruna demuestra que, si no se vigilan las cadenas de suministro y las filtraciones internas, estas armas acaban tarde o temprano circulando fuera de su entorno previsto.
Todo lo que rodea a Coruna dibuja un escenario en el que las ciberarmas de origen estatal han dejado de ser patrimonio exclusivo de los servicios de inteligencia. Un kit nacido, con toda probabilidad, en un contratista militar estadounidense ha terminado viajando por intermediarios rusos, alimentando campañas de espionaje en Ucrania y, finalmente, sirviendo para que grupos criminales chinos vacíen carteras de criptomonedas en ataques masivos. Para los usuarios europeos de iPhone —y para las empresas que dependen de ellos—, la lección es incómoda pero clara: la seguridad ya no se juega solo en los servidores y redes corporativas, sino también en la integridad de los dispositivos que llevamos en el bolsillo, y en la capacidad de los estados y proveedores de tecnología para mantener bajo control unas herramientas que, cuando se escapan, se convierten en un problema global.
