Google detecta exploits para iOS dirigidos a las frases semilla de carteras criptográficas.

Google detecta exploits para iOS dirigidos a las frases semilla de carteras criptográficas.
Google detecta riesgos en los monederos de iOS

Investigadores del Grupo de Inteligencia de Amenazas de Google han informado de un nuevo exploit dirigido a iPhones y diseñado para robar datos de monederos de criptomonedas. El kit de herramientas, denominado Coruna, está dirigido a dispositivos Apple con versiones de iOS desde la 13.0 hasta la 17.2.1.

Este artículo ha sido traducido del original. Lea la versión original de nuestro corresponsal aquí.

El kit de herramientas incluye docenas de vulnerabilidades, algunas de las cuales eran desconocidas hasta ahora, escribe Cointelegraph. Según Google, los ataques se observaron por primera vez contra usuarios en Ucrania, y un esquema similar apareció más tarde en falsos sitios web chinos relacionados con servicios financieros.

El exploit de Coruna y los falsos sitios web de criptomonedas

Según un informe de Google Threat Intelligence Group (GTIG), Coruna contiene cinco cadenas completas de exploits para vulnerabilidades de iOS y un total de 23 exploits. Algunos de ellos no habían sido conocidos previamente por los investigadores de ciberseguridad.

El conjunto de herramientas se descubrió por primera vez en febrero de 2025. Los atacantes utilizaban código JavaScript que identificaba el modelo de dispositivo y la versión de iOS antes de entregar el exploit apropiado a la víctima.

El mismo mecanismo se encontró más tarde en sitios web ucranianos comprometidos. El código malicioso sólo se mostraba a usuarios de iPhone de determinadas regiones. En diciembre, los investigadores de GTIG detectaron el mismo esquema en un gran número de sitios web chinos falsos vinculados a servicios financieros. Uno de ellos imitaba la interfaz de la bolsa de criptomonedas WEEX.

Después de que un usuario carga la página, el sistema comprueba el dispositivo e intenta localizar información financiera. En concreto, escanea textos que contengan frases semilla y palabras clave como "frase de respaldo" o "cuenta bancaria". El exploit también busca aplicaciones criptográficas instaladas, como MetaMask y Uniswap, para obtener datos sensibles.

GTIG señala que el exploit toolkit no funciona en las últimas versiones de iOS, por lo que se recomienda a los usuarios de iPhone que actualicen sus dispositivos a la última versión del sistema o activen el modo Lockdown, diseñado para protegerlos de ataques sofisticados.

Debate sobre el origen de la herramienta

El origen de Coruna se ha convertido en tema de debate entre los expertos en ciberseguridad. Google no ha revelado el cliente que está detrás del desarrollo, pero los especialistas de la firma de seguridad iVerify creen que la herramienta podría estar vinculada a entidades gubernamentales.

El cofundador de iVerify, Rocky Cole, declaró a WIRED:

"Es muy sofisticada, costó millones de dólares desarrollarla y lleva el sello de otros módulos que se han atribuido públicamente al gobierno de EE.UU.".

Según él, estas herramientas pueden haber acabado en manos de otros grupos:

"Este es el primer ejemplo que hemos visto de herramientas muy probablemente del gobierno estadounidense -basándonos en lo que nos dice el código- que se descontrolan y son utilizadas tanto por nuestros adversarios como por grupos de ciberdelincuentes."

Sin embargo, no todos los expertos están de acuerdo con esta valoración. Un investigador principal de seguridad de Kaspersky declaró a The Register que la empresa no había encontrado pruebas convincentes de reutilización de código que pudieran vincular a Coruna con desarrolladores que trabajasen para agencias gubernamentales.

Por qué es importante para los usuarios de criptomonedas

El caso Coruna pone de relieve que los dispositivos móviles siguen siendo un vector de ataque clave para los delincuentes que atacan criptoactivos. El objetivo principal de estos ataques son las frases semilla, que permiten a los atacantes restaurar el acceso a la billetera y transferir fondos sin la posibilidad de revertir la transacción.

Según la firma de seguridad blockchain CertiK, el phishing y el robo de claves siguen estando entre las amenazas más comunes a las que se enfrentan los criptoinversores. Solo en 2025, estos ataques provocaron pérdidas de unos 722 millones de dólares.

Estos ataques suelen combinar varias técnicas a la vez, incluyendo la explotación de vulnerabilidades del sistema operativo, el uso de sitios web falsos y el escaneo de aplicaciones instaladas. Como resultado, las actualizaciones regulares de software y las protecciones adicionales, como el modo Lockdown, siguen siendo algunas de las medidas de seguridad más eficaces para los usuarios de criptomonedas.

Leer también: Google Cloud amplía su alcance en Europa con la colaboración de Liberty Global AI

Este material puede contener opiniones de terceros, ninguno de los datos e información en esta página web constituye asesoramiento de inversión según nuestro Aviso Legal. Aunque nos adherimos a una estricta Integridad Editorial, esta publicación puede contener referencias a productos de nuestros socios.