Antes, las ciberarmas patrocinadas por estados estaban reservadas para espiar a disidentes, diplomáticos y objetivos políticos de alto valor. Ya no más. En una escalada aterradora del panorama de la seguridad móvil, el Grupo de Análisis de Amenazas (TAG) de Google ha descubierto un sofisticado kit de estafa cripto para iPhone que se está utilizando para vaciar billeteras de usuarios comunes.
El malware, bautizado como ‘Coruna’, marca un cambio peligroso: herramientas diseñadas originalmente para el espionaje ahora se despliegan para robar tus claves privadas.
🚨Lunaray Security Alert
Google threat researchers have discovered a new exploit toolkit called #Coruna for Apple iPhones that can steal mnemonic phrases from cryptocurrency wallets, affecting devices running iOS versions 13.0 to 17.2.1.
Please stay vigilant!
— Lunaray (@lunaray_co) March 5, 2026
Estafa cripto en iPhone: cómo funciona el malware Coruna
La mayoría de las estafas con criptomonedas dependen de que el usuario cometa un error, como hacer clic en un enlace malicioso o firmar una transacción sospechosa. El malware Coruna, una estafa cripto que afecta a iPhones con versiones de software antiguas, es diferente porque no necesita tu permiso para entrar. El informe de Google TAG explica cómo este kit de explotación se incrusta en sitios web falsos que imitan servicios legítimos, como el exchange de criptomonedas WEEX.
Cuando un usuario visita uno de estos sitios comprometidos utilizando un iPhone vulnerable (que ejecute versiones de iOS entre la 13.0 y la 17.2.1), el kit realiza silenciosamente un reconocimiento del dispositivo. Si el software está desactualizado, despliega una sofisticada cadena de explotación para obtener acceso profundo al sistema del teléfono.
Una vez dentro, el malware no se queda estático. Caza activamente. Escanea el dispositivo en busca de aplicaciones específicas como MetaMask, BitKeep y Phantom. Busca en tus fotos y notas palabras clave como «frase de respaldo», «semilla» o «cuenta bancaria». El objetivo es un hackeo silencioso de la billetera cripto: filtrar tus claves de recuperación a un servidor remoto antes de que te des cuenta de que tus fondos están en riesgo.
De espías a estafadores: un patrón peligroso
Este desarrollo confirma una tendencia sobre la que venimos advirtiendo durante años: las herramientas cibernéticas avanzadas acaban filtrándose desde los gobiernos hacia los delincuentes. Los investigadores de Google TAG rastrearon los orígenes de Coruna hasta proveedores de vigilancia comercial a principios de 2025. Más tarde, se detectó su uso por parte de presuntos grupos de espionaje rusos dirigidos a Ucrania. Ahora, ha caído en manos de ladrones de criptomonedas motivados económicamente.
Esto es el equivalente digital a que armamento de grado militar se venda en el mercado negro a bandas callejeras. Estamos presenciando una rápida mercantilización de los exploits de día cero. Así como hemos seguido casos recientes de redes organizadas de estafas cripto que expanden sus operaciones, la llegada de Coruna demuestra que estos grupos ya no dependen únicamente de la ingeniería social. Están comprando o reutilizando herramientas que pueden eludir por completo la seguridad del sistema operativo.
Los grupos de crimen organizado operan ahora con la sofisticación técnica anteriormente reservada a los estados, con el objetivo de recolectar datos privados a gran escala.
Quién está en riesgo y cómo saber si lo está
Si utilizas un iPhone para operar o almacenar criptomonedas, debes prestar atención a la configuración de seguridad de tu iOS de inmediato. El exploit Coruna se dirige específicamente a dispositivos que ejecutan versiones de iOS anteriores a la 17.2.1. Lo primero que puedes hacer es comprobar si tu iPhone está actualizado a la última versión disponible.
Lo aterrador de este exploit es su silencio. A diferencia de un correo electrónico de phishing, donde podrías detectar un error ortográfico, este ataque ocurre en segundo plano. Si has visitado sitios de apuestas dudosos, ofertas de exchanges en ventanas emergentes agresivas o agregadores de noticias cripto no confiables recientemente, tu dispositivo podría haber sido analizado.
Esto resalta la importancia crítica de cómo gestionas tus claves privadas. Como se ha analizado en relación con las arquitecturas de seguridad preparadas para el futuro, confiar únicamente en la billetera de software de un teléfono móvil, especialmente en un sistema operativo desactualizado, es cada vez más negligente.
Si tu frase semilla está guardada en una captura de pantalla en tu aplicación de Fotos o escrita en tu aplicación de Notas, Coruna puede encontrarla, cifrarla y enviarla a los atacantes.
DESCUBRA: Las mejores wallets de Telegram
Siga a 99Bitcoins en X para las últimas actualizaciones del mercado y suscríbase en YouTube para el análisis diario de expertos.
Por qué confiar en 99Bitcoins
Fundado en 2013, los miembros del equipo de 99Bitcoins han sido expertos en cripto desde los primeros días de Bitcoin.
Investigación Semanal
+100kLectores mensuales
Colaboradores expertos
+2000Proyectos crypto analizados
