Puntos clave de la noticia:
- Google advierte que “Coruna” apunta a iPhones antiguos y puede robar frases de recuperación para drenar wallets cripto antes de que el usuario reaccione.
- Encadena cinco rutas de exploit y 23 fallas en iOS 13 a 17.2.1; sitios maliciosos hacen fingerprint con JavaScript oculto e instalan spyware en silencio.
- Controles recomendados: actualizar iOS, activar Lockdown Mode, usar navegación privada, evitar sitios cripto desconocidos y guardar frases fuera del teléfono.
El Threat Intelligence Group de Google está alertando a usuarios cripto sobre “Coruna”, un kit de explotación sofisticado que apunta a iPhones antiguos y puede robar frases de recuperación de wallets. Los investigadores dicen que escanea de forma agresiva dispositivos con software de Apple desactualizado y, una vez encuentra un objetivo vulnerable, puede extraer los datos sensibles necesarios para restaurar una wallet en otro dispositivo. Para cualquiera que guarde Bitcoin, Ethereum u otros activos en el móvil, un solo descuido en iOS puede terminar en pérdida total de la wallet. La implicación práctica es común para retail e institucional: la higiene del endpoint ya es crítica para la seguridad de fondos.
Cómo Coruna convierte una debilidad del iPhone en riesgo de wallet
Coruna combina cinco cadenas de exploits y al menos 23 vulnerabilidades para comprometer dispositivos con versiones de iOS desde 13 hasta 17.2.1. El ataque suele comenzar cuando el usuario entra en un sitio comprometido, donde JavaScript oculto “fingerprint” el modelo del dispositivo, la versión de software y ajustes de seguridad. Si el objetivo califica, Coruna convierte una visita web en toma de control del dispositivo al encadenar varias etapas que evaden protecciones, elevan privilegios, instalan spyware y luego extraen información sensible del sistema operativo con alta fiabilidad y señales mínimas para el usuario. Opera silenciosamente, así que las víctimas rara vez ven alertas.
Los investigadores sostienen que el “payload” está optimizado para robo cripto. El spyware busca archivos de wallets cifrados, credenciales de acceso y frases mnemónicas que permiten recrear una wallet en otro equipo. Una vez expuestas, los atacantes pueden transferir fondos de inmediato, muchas veces antes de que la víctima lo note. La distribución usa tácticas de “watering hole”, comprometiendo sitios que usuarios cripto suelen visitar, incluyendo plataformas falsas de trading y páginas de phishing. En la práctica, las frases de recuperación son el “cash-out” más rápido del atacante, convirtiendo navegación normal en un vaciado de cuenta y obligando a replantear dónde se guardan los secretos.
El reporte también menciona ecos de herramientas estatales. iVerify encontró código de Coruna que se parece a utilidades que se cree se originaron en programas cibernéticos del gobierno de EE. UU., pero investigadores consideran que el toolkit se filtró y hoy lo usan actores criminales y de inteligencia de Rusia y China. Las defensas son concretas: falla en la última versión de iOS, se bloquea si se activa Lockdown Mode y no funciona en modo de navegación privada. La navegación privada añade fricción extra. Operativamente, la disciplina de parches y mantener secretos offline es el mejor control: actualizar iOS, evitar sitios cripto desconocidos y no guardar frases de recuperación en el teléfono.
