El Ecosistema Startup > Blog > Actualidad Startup > Hacking de iPhones: espías rusos usaron tools de EE.UU.
Hacking de iPhones ilustrado con código digital y figuras de espías, representando espionaje digital y ciberseguridad.

Hacking de iPhones: espías rusos usaron tools de EE.UU.

por

El kit de exploits Coruna: cuando las herramientas de espionaje estatal se vuelven un arma sin dueño

El ecosistema de la ciberseguridad recibió una sacudida esta semana con una revelación que cruza fronteras, actores estatales y el mercado gris de exploits: el Threat Analysis Group (TAG) de Google identificó un sofisticado kit de herramientas de hacking para iPhone, conocido internamente como Coruna, que estaba siendo utilizado simultáneamente por un grupo de espionaje ruso en Ucrania y por un colectivo cibercriminal chino con motivaciones financieras. Lo más inquietante del hallazgo: fuentes dentro de un contratista de defensa del gobierno de EE.UU. confirmaron que esas herramientas eran originalmente suyas.

El caso recuerda peligrosamente al leak de la NSA por parte de Shadow Brokers en 2016, cuando herramientas clasificadas del gobierno estadounidense terminaron en manos de actores hostiles y fueron usadas para lanzar ataques masivos como WannaCry. Esta vez, el vector de proliferación parece haber sido diferente, pero el resultado es igualmente alarmante para cualquier profesional que trabaje con tecnología y datos sensibles.

¿Qué es Coruna y por qué es tan peligroso?

Coruna no es un exploit cualquiera. Se trata de un kit modular de exploits para iPhone que encadena 23 vulnerabilidades diferentes para lograr ejecución remota de código, todo desencadenado por una simple visita a un sitio web malicioso, sin que el usuario tenga que hacer nada más. Sus capacidades técnicas incluyen:

  • Explotación de WebKit para ejecución de código remoto en el navegador.
  • Bypass del Secure Enclave de Apple para obtener acceso root al dispositivo.
  • Payloads dinámicos y modulares: keyloggers, robo de wallets de criptomonedas, exfiltración de datos.
  • Autodestrucción si detecta que el dispositivo tiene activado el Lockdown Mode de Apple.
  • Arquitectura de plugins para incorporar nuevos zero-days según evolucionen los objetivos.

El kit afecta a dispositivos con iOS 13 hasta iOS 17.2.1 (versiones anteriores a diciembre de 2023). Apple ya ha parcheado las vulnerabilidades explotadas, pero millones de dispositivos no actualizados siguen siendo blancos válidos. La firma de seguridad iVerify describió esta campaña como el primer ataque masivo conocido contra iOS de esta naturaleza y escala.

Espías rusos, cibercriminales chinos y un mismo arsenal

El TAG de Google detectó por primera vez fragmentos del toolkit Coruna en febrero de 2025, durante un intento de infección por parte de un proveedor de vigilancia que actuaba en nombre de un cliente gubernamental. Lo que encontraron después fue aún más revelador: el mismo arsenal estaba siendo utilizado por dos actores completamente distintos.

La campaña rusa en Ucrania

Un grupo vinculado a la inteligencia rusa embebió el toolkit Coruna dentro de scripts de analítica web en sitios de noticias y contadores de visitas ucranianos. De este modo, cualquier usuario que visitara esos sitios desde un iPhone vulnerable quedaba expuesto a la infección de forma silenciosa y sin interacción adicional. El objetivo: recopilación masiva de inteligencia sobre ciudadanos y funcionarios ucranianos. Este modus operandi guarda similitudes con la Operación Triangulation, una campaña de vigilancia contra iPhones documentada en 2023 por Kaspersky, que también utilizaba exploits de iMessage sin clic.

El grupo chino: de espionaje a crimen financiero

Un colectivo cibercriminal chino con motivaciones financieras repropuso las mismas herramientas para fines distintos: las insertó en sitios de criptomonedas y plataformas de juego en idioma chino para robar wallets de criptoactivos y datos personales. Según los investigadores de iVerify, ya se habían infectado aproximadamente 42.000 dispositivos a través de esta campaña antes de que fuera detectada y contenida.

El contratista de defensa estadounidense: un eslabón que nadie esperaba

Quizás el aspecto más perturbador del caso es la implicación de un contratista de defensa del gobierno de EE.UU. El proceso de ingeniería inversa llevado a cabo por iVerify sobre el toolkit Coruna arrojó similitudes técnicas inequívocas con herramientas previamente atribuidas a proveedores del gobierno estadounidense. Cuando se confrontó a fuentes internas de dicha empresa, confirmaron que el toolkit era originalmente suyo. No se ha revelado públicamente el nombre del contratista.

El mecanismo exacto por el que las herramientas salieron del control del contratista tampoco está completamente claro. Lo que sí se sabe es que en febrero de 2026, TechCrunch publicó una investigación sobre el ex directivo de una empresa de hacking tools estadounidense que había sido encarcelado por vender exploits altamente sensibles a un intermediario ruso, lo que sugiere que el mercado secundario de vulnerabilidades clasificadas es un vector real y activo de proliferación.

¿Qué implica esto para founders y empresas tech en LATAM?

Puede parecer que este caso es un asunto de grandes potencias y agencias de inteligencia, ajeno al día a día de una startup en Ciudad de México, Bogotá o Buenos Aires. Pero las implicaciones son muy directas para cualquier equipo que construya productos digitales o maneje datos de usuarios:

1. La seguridad de los dispositivos móviles es una responsabilidad del equipo

Si tu equipo usa iPhones para comunicaciones internas, acceso a paneles de administración o manejo de datos de clientes, la política de actualizaciones de iOS deja de ser una cuestión de IT y se convierte en gestión de riesgo empresarial. Coruna solo afecta versiones anteriores a iOS 17.2.1; mantener dispositivos actualizados es la primera línea de defensa.

2. El Lockdown Mode de Apple tiene sentido para perfiles de alto riesgo

Curiosamente, Coruna se autodestruye si detecta el Lockdown Mode activado en el dispositivo. Apple diseñó esta función para periodistas, activistas y ejecutivos en riesgo. Si manejas información sensible de inversores, datos de due diligence o tecnología propietaria, considera activarlo.

3. La cadena de proveedores tech tiene vectores de riesgo ocultos

El hecho de que un contratista de defensa haya perdido el control de sus herramientas recuerda que cualquier empresa que desarrolle o integre tecnología de seguridad tiene responsabilidad sobre su ciclo de vida completo. Para startups en el espacio de ciberseguridad, GovTech o defensa, esto es especialmente relevante en términos de compliance y gobernanza.

4. El mercado de zero-days es real y activo

Los exploits no se fabrican solo en agencias estatales. Hay un ecosistema de brokers, contratistas y actores privados que desarrolla, compra y revende vulnerabilidades. Comprender este mercado es relevante si tu startup opera en sectores regulados, maneja datos sensibles o construye infraestructura crítica.

El patrón que se repite: herramientas estatales que pierden el control

El caso Coruna es parte de una tendencia más amplia y preocupante. Desde el leak de Shadow Brokers (2016) que expuso herramientas de la NSA, hasta el escándalo de Pegasus del grupo israelí NSO, la historia reciente de la ciberseguridad está marcada por el patrón de herramientas diseñadas para inteligencia estatal que terminan proliferando hacia actores no autorizados, ya sean otros estados, grupos criminales o mercenarios digitales.

Lo que hace diferente a Coruna es su capacidad de adaptar los mismos exploits para objetivos radicalmente distintos: desde vigilancia geopolítica en una zona de conflicto activo hasta robo de criptomonedas a escala. Esto habla de una arquitectura diseñada para la reutilización, lo que la hace especialmente difícil de contener una vez que escapa del entorno original para el que fue creada.

Conclusión

El descubrimiento del kit Coruna por parte del TAG de Google y su posterior atribución parcial a un contratista de defensa estadounidense marca un punto de inflexión en el debate sobre la responsabilidad en el desarrollo de herramientas de ciberespionaje. La proliferación de exploits avanzados hacia actores rusos en Ucrania y grupos criminales chinos no es solo un problema de seguridad nacional: es una señal inequívoca de que el ecosistema de herramientas ofensivas privadas necesita mayor gobernanza, trazabilidad y rendición de cuentas.

Para el ecosistema tech hispano, la lección práctica es clara: la seguridad digital no es opcional, especialmente cuando operas con datos de usuarios, infraestructura crítica o en industrias reguladas. Actualizar dispositivos, adoptar buenas prácticas de seguridad operacional y entender los riesgos de la cadena de suministro tech son pasos que todo founder debería tener en el radar hoy, no mañana.

Profundiza estos temas con nuestra comunidad de expertos en tecnología y ciberseguridad. Únete gratis a Ecosistema Startup y conecta con founders que navegan estos desafíos cada día.

Únete gratis

Fuentes

  1. https://techcrunch.com/2026/03/10/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine/ (fuente original)
  2. https://techcrunch.com/2026/03/03/a-suite-of-government-hacking-tools-targeting-iphones-is-now-being-used-by-cybercriminals/ (fuente adicional)
  3. https://techcrunch.com/2026/02/25/inside-the-story-of-the-us-defense-contractor-who-leaked-hacking-tools-to-russia/ (fuente adicional)
  4. https://www.nextgov.com/cybersecurity/2026/03/potential-us-built-hacking-tools-obtained-foreign-spies-and-cybercriminals-research-says/411861/ (fuente adicional)
  5. https://siliconcanals.com/sc-d-a-us-government-iphone-hacking-tool-has-gone-feral-and-42-000-devices-are-already-infected/ (fuente adicional)
  6. https://ubos.tech/news/iphone-hacking-toolkit-leak-exposes-us-government-tools-to-foreign-spies-and-cybercriminals/ (fuente adicional)
  7. https://www.techbuzz.ai/articles/us-defense-contractor-tools-found-in-russian-iphone-spyware (fuente adicional)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

Artículos relacionados:

Escena impactante de espionaje digital con exploit kit Coruna utilizado en iPhone, destacando ciberseguridad y hacking iOS en contexto ruso y estadounidense.Espías rusos usaron exploit kit de iPhone de EE.UU. iPhone 17e con inteligencia artificial avanzada destacando tecnología móvil para startups y founders en paleta naranja y negro.iPhone 17e: Apple integra IA avanzada por $599 | Análisis Contratista de defensa vendiendo exploits de ciberseguridad a Rusia representando riesgos críticos en seguridad nacional y compliance.Contratista de defensa vendió exploits a Rusia: lecciones Producción de iPhones en India en fábrica de alta tecnología mostrando la diversificación de la cadena de suministro de Apple en mercados emergentes.Apple fabrica ya 1 de cada 4 iPhones en India Lanzamiento Apple marzo 2026 con MacBook Neo e iPhone 17e en entorno tecnológico innovador enfocado en tendencias de hardware y tecnología startup.Apple marzo 2026: MacBook Neo, iPhone 17e y más

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly