El kit de exploits 'Coruna': cómo tres grupos distintos compartieron las mismas armas para hackear iPhones

Un análisis publicado por Google Project Zero esta semana reveló uno de los capítulos más perturbadores del ecosistema de ciberespionaje moderno: un sofisticado kit de exploits para iOS, bautizado internamente como 'Coruna', fue utilizado por al menos tres grupos de amenazas completamente distintos — un cliente de un proveedor de spyware comercial, un grupo de espionaje ruso, y un actor financieramente motivado de China.

El kit, descubierto originalmente en febrero de 2025, cubría el espectro completo de una cadena de explotación de iOS: desde vulnerabilidades de lectura/escritura en WebContent (el motor del navegador) hasta escapes de sandbox, escaladas de privilegios y bypasses de protección de páginas (PPL). En total, los investigadores identificaron 23 exploits encadenados, con nombres en clave como 'buffout', 'terrorbird' y 'cassowary', capaces de comprometer iPhones con versiones de iOS desde la 13.0 hasta la 17.2.1.

Lo que hace al caso especialmente revelador es la pregunta que Google no puede responder: ¿cómo tres grupos tan diferentes terminaron usando exactamente el mismo kit? 'Esto sugiere un mercado activo de exploits de segunda mano', escribieron los investigadores. La proliferación del kit indica que las vulnerabilidades de día cero —o en este caso, vulnerabilidades ya parcheadas pero presentes en millones de dispositivos sin actualizar— se están convirtiendo en commodities.

La Agencia de Ciberseguridad de EE.UU. (CISA) reaccionó agregando tres CVEs del kit a su catálogo de vulnerabilidades explotadas activamente: CVE-2021-30952, CVE-2023-41974 y CVE-2023-43000. Las agencias federales tienen hasta el 29 de marzo para aplicar los parches correspondientes.

Para los usuarios latinoamericanos, el mensaje es claro y urgente: actualizar iOS a las versiones más recientes disponibles. Varios de los exploits de Coruna funcionaban contra versiones que apenas tienen dos o tres años de antigüedad. En un contexto donde periodistas, activistas y figuras políticas de la región son objetivos conocidos de spyware, este tipo de infraestructura de explotación comercializada representa una amenaza real y no hipotética.