El Grupo de Inteligencia de Amenazas de Google (GTIG) publicó el miércoles un informe que revela que un nuevo kit de herramientas de explotación de vulnerabilidades en iPhone llamado Coruna ha sido desplegado en actividades masivas de estafas con criptomonedas. La empresa de seguridad móvil iVerify informó que el kit Coruna podría tener origen en el gobierno de Estados Unidos y, tras salirse de control, ha sido reutilizado por adversarios y organizaciones criminales en fraudes con criptomonedas.

Análisis técnico del kit Coruna: cómo robar billeteras criptográficas de forma dirigida

(Fuente: Mandiant)

Coruna utiliza tecnología JavaScript para identificar huellas en dispositivos iOS que acceden a sitios falsos, y tras confirmar la versión objetivo, despliega automáticamente un exploit de vulnerabilidad. Una vez que el dispositivo es comprometido, el kit busca sistemáticamente la siguiente información sensible:

Palabras clave de recuperación de criptomonedas: escanea archivos locales en busca de términos como “backup phrase” y “seed phrase”

Aplicaciones de criptomonedas populares: apunta específicamente a billeteras descentralizadas como Uniswap y MetaMask para extraer claves o datos de cuentas

Información de cuentas financieras: busca en paralelo datos sensibles de cuentas bancarias y otros métodos de pago

GTIG confirmó que Coruna no es compatible con la versión más reciente de iOS, recomendando encarecidamente a todos los usuarios de iPhone actualizar inmediatamente el sistema. Aquellos que no puedan actualizar deben activar el “Modo de bloqueo” proporcionado por Apple, que según la compañía, puede defender eficazmente contra ataques dirigidos altamente sofisticados.

De operaciones de inteligencia a sitios de estafa con criptomonedas: las dos vías de propagación de Coruna

Las investigaciones de GTIG muestran que el kit Coruna ha pasado por dos fases de uso completamente distintas. Inicialmente, se sospecha que un grupo de inteligencia ruso utilizó sitios web ucranianos comprometidos para distribuir el kit dirigido a usuarios de iPhone en ubicaciones específicas, mostrando características típicas de recopilación de inteligencia.

En diciembre de 2025, GTIG detectó en un gran conjunto de sitios web falsos en chino relacionados con finanzas, el mismo marco de JavaScript, incluyendo un sitio falso que imita directamente a la plataforma de intercambio de criptomonedas WEEX. Cuando usuarios de iOS acceden a estos sitios falsos, el kit automáticamente extrae información financiera en segundo plano, priorizando las palabras clave de recuperación de billeteras criptográficas, representando una amenaza directa a la seguridad patrimonial y transformando la herramienta de ataque de inteligencia en un método masivo de estafa con criptomonedas.

Controversia de atribución: ¿herramienta del gobierno de EE. UU. o software espía comercial?

El aspecto más polémico de este incidente es el posible origen de Coruna. Rocky Cole, cofundador de iVerify, dijo a WIRED que la herramienta “es muy compleja, desarrollada con un costo de varios millones de dólares, y presenta características emblemáticas de módulos previamente atribuidos al gobierno de EE. UU.”, sugiriendo que podría ser “el primer caso en que una herramienta del gobierno estadounidense se sale de control y es aprovechada por adversarios y grupos criminales en línea”.

Por otro lado, un investigador principal de seguridad de Kaspersky expresó una postura diferente, afirmando que su empresa “no ha encontrado evidencia de reutilización de código en los informes publicados” que respalde esa atribución. GTIG tampoco reveló en el informe la identidad del cliente de la primera compañía de monitoreo que utilizó Coruna, dejando la cuestión de la atribución en suspenso por el momento.

Preguntas frecuentes

¿Afecta el kit Coruna a las versiones más recientes de iPhone?

GTIG confirma que las cinco cadenas de explotación de vulnerabilidades de Coruna afectan a iOS 13.0 a 17.2.1, y no son compatibles con la versión más reciente de iOS. Todos los usuarios de iPhone deben actualizar inmediatamente su sistema; quienes no puedan, deben activar el “Modo de bloqueo” para reducir riesgos.

¿Cómo descubrió Google que Coruna se usaba en fraudes con criptomonedas?

En febrero de 2025, GTIG identificó características en parte del código del kit, rastreando el mismo marco de JavaScript en sitios ucranianos comprometidos. Posteriormente, detectó su despliegue completo en una gran cantidad de sitios falsos en chino que imitaban a WEEX, confirmando que la herramienta había sido transformada de un uso de inteligencia a un método masivo de estafa con criptomonedas.

¿Cómo proteger las palabras clave de recuperación de criptomonedas contra este tipo de herramientas?

Además de actualizar inmediatamente iOS, se recomienda guardar las palabras clave en medios de almacenamiento en frío completamente desconectados, como hardware wallets o copias en papel, evitando almacenarlas en dispositivos conectados a internet en texto plano. También se aconseja verificar la autenticidad de todos los sitios web relacionados con criptomonedas para evitar acceder a sitios financieros de origen desconocido.

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.

Artículos relacionados

La situación en Medio Oriente se intensifica, las acciones de EE. UU. retroceden desde sus máximos y el Bitcoin se mantiene estable cerca de 80.000.

bitcoin news Volatilidad del precio Datos sobre derivados Macroeconomía Geopolítica Materias primas

La escalada de la situación en Oriente Medio impulsa el alza de los precios del petróleo y hace retroceder a las acciones de EE. UU. desde sus máximos; ayer, Bitcoin superó los 80.000 dólares, alcanzando un máximo de 80.776 dólares. Las opciones de compra de 80.000 en Deribit con vencimiento pendiente aumentaron de forma notable, lo que sugiere que el capital apuesta a un alza del precio durante el mes. Los ETF registraron entradas netas de 630 millones de dólares esta semana; el mercado mantiene un optimismo sobre la consecución de cláusulas de rendimiento por intereses de los stablecoins y también hay avances relacionados con el CLARITY Act.

ChainNewsAbmediaHace10m

Las familias buscan ETH de Arbitrum congelado para las víctimas de Corea del Norte

ethereum news Geopolítica Acciones de ejecución Incidentes de seguridad

Las familias que mantienen sentencias contra Corea del Norte de hace décadas están intentando embargar 30,765 ETH congelados en Arbitrum tras el exploit rsETH del mes pasado. Las familias han invocado una orden judicial de restricción de Nueva York en un esfuerzo por impedir que Arbitrum libere los fondos, citando presuntos vínculos entre el attt

CryptoFrontierhace2h

Corea del Norte niega el robo de criptomonedas cuando $577M fue robado en 2026

ethereum news Geopolítica Acciones de ejecución Incidentes de seguridad

La República Popular Democrática de Corea ha negado las acusaciones de robo de criptomonedas financiado por el Estado, incluso cuando la firma de inteligencia blockchain TRM Labs informó que actores vinculados a la RPDC robaron aproximadamente 577 millones de dólares en los primeros cuatro meses de 2026. Un portavoz del Ministerio de Asuntos Exteriores del régimen

CryptoFrontierhace9h

Bitcoin invierte desde el máximo de 80,594 dólares hasta 79,000 dólares tras el informe de un misil de Irán; el petróleo se dispara un 5%

bitcoin news Análisis de mercado Predicción de precios Volatilidad del precio Geopolítica Acciones Índices Materias primas

Según la agencia de noticias iraní Fars, dos misiles impactaron hoy un buque de guerra de EE. UU., lo que provocó un fuerte giro en Bitcoin desde su máximo de $80,594 hasta alrededor de $79,000. Los precios del petróleo subieron 5% en el informe antes de que EE. UU. negara la afirmación. Ethereum, Solana y Dogecoin cayeron con fuerza junto con la marca general

GateNewshace10h

El secretario del Tesoro de EE. UU., Bessent: El suministro global de petróleo estará “muy bien abastecido” en medio del déficit diario de 8M–10M barriles

bitcoin news ethereum news solana news dogecoin news Volatilidad del precio Geopolítica Acciones Forex Materias primas

Según el secretario del Tesoro de EE. UU. Bessent, el 4 de mayo, Estados Unidos controla el estrecho de Ormuz, y la oferta mundial de petróleo estará “muy bien abastecida” pese a los conflictos actuales. Bessent dijo que el déficit mundial de petróleo causado por el conflicto en curso es de aproximadamente 8 millones a 10 millones de barriles por

GateNewshace13h

Las negociaciones geopolíticas se entrelazan con expectativas de datos de tono moderado: observaciones estructurales del mercado cripto esta semana

bitcoin news Análisis de mercado Macroeconomía Política monetaria Geopolítica Materias primas

Las conversaciones de paz entre Irán e Israel envían señales positivas, pero la preparación para la guerra avanza en paralelo; el control del Estrecho de Ormuz enfrenta un punto de inflexión. Los datos de empleo de EE. UU. podrían reforzar las expectativas de un tono más moderado; BTC vuelve a superar los 80.000 dólares por primera vez en tres meses.

GateInstantTrendshace16h

Comentar

0/400

Sin comentarios