Coruna y DarkSword: los kits de espionaje que atacan iPhones

Marzo de 2026 ha sido uno de los meses más complicados para la seguridad del ecosistema Apple. Mientras la compañía publicaba una actualización masiva con más de 85 parches de seguridad el día 25, investigadores de Google y otras firmas de seguridad sacaban a la luz dos herramientas de espionaje sofisticadas diseñadas específicamente para tomar el control total de iPhones: Coruna y DarkSword.

No son virus comunes. No son apps fraudulentas de la App Store. Son kits de explotación profesionales que encadenan múltiples vulnerabilidades para conseguir acceso completo al dispositivo, desde el navegador hasta el kernel, sin que el usuario tenga que hacer nada más que visitar una página web.

Qué es un exploit kit y por qué deberías preocuparte

Un exploit kit es un paquete de herramientas que aprovecha varios fallos de seguridad en cadena para comprometer un dispositivo. Cada fallo individual puede parecer menor, pero combinados forman una cadena de ataque que va escalando privilegios paso a paso hasta conseguir control total.

Piensa en ello como abrir una serie de puertas cerradas: la primera vulnerabilidad abre la puerta del navegador, la segunda sale del entorno aislado del navegador, la tercera accede al sistema operativo y la cuarta llega al núcleo del dispositivo. Al final de la cadena, el atacante puede leer tus mensajes, acceder a tus contraseñas, activar tu micrófono y extraer cualquier dato almacenado.

Lo que hace especialmente peligrosos a Coruna y DarkSword es que funcionan sin intervención del usuario más allá de visitar una web. No necesitan que instales nada, que aceptes ningún permiso ni que hagas clic en ninguna advertencia.

Qué hacer: Mantener el dispositivo actualizado es la primera y más efectiva defensa contra exploit kits. Apple ha parcheado todas las vulnerabilidades conocidas usadas por estas herramientas, pero solo los dispositivos actualizados están protegidos.

Coruna: del espionaje estatal a las estafas masivas

Coruna es el más antiguo de los dos kits. Fue detectado inicialmente en ataques muy dirigidos — el tipo de operaciones que suelen asociarse con servicios de inteligencia — y posteriormente apareció en ataques de tipo “watering hole” dirigidos contra usuarios ucranianos, presuntamente operados por un grupo vinculado a Rusia.

Lo preocupante es lo que ocurrió después: el mismo kit apareció en una red masiva de webs fraudulentas chinas que simulaban ser plataformas financieras y de criptomonedas. Esto indica que la herramienta pasó del espionaje selectivo al mercado negro, donde ahora la usan ciberdelincuentes convencionales.

Coruna explota vulnerabilidades en WebKit — el motor que da vida a Safari — para ejecutar código en el dispositivo. Luego usa un bypass de la autenticación de punteros para escalar privilegios. Las vulnerabilidades que utiliza fueron parcheadas entre 2023 y 2024 para las versiones más recientes de iOS, pero dispositivos con versiones antiguas siguen siendo vulnerables. Apple publicó parches específicos para iOS 15 y iOS 16 el 11 de marzo de 2026 para cerrar estas brechas en dispositivos más antiguos.

El kit es lo suficientemente inteligente como para detectar la versión de iOS del dispositivo y cargar el exploit adecuado para cada caso. También evita atacar dispositivos que tienen activado el Modo de Aislamiento (Lockdown Mode) de Apple.

Qué hacer: Si tienes un iPhone con una versión de iOS anterior a la 26, asegúrate de tener instalada la última actualización de seguridad disponible para tu versión. Los dispositivos actualizados están protegidos.

DarkSword: seis fallos, tres zero-days

DarkSword es más reciente y más sofisticado. Descubierto y documentado en detalle por el equipo de inteligencia de amenazas de Google, este kit encadena seis vulnerabilidades distintas para conseguir acceso completo a un iPhone, tres de las cuales eran zero-days — fallos desconocidos por Apple en el momento de ser explotados.

La cadena de ataque comienza cuando el usuario visita una web comprometida con Safari. El kit detecta el modelo de iPhone y la versión de iOS, y selecciona el exploit de ejecución de código remoto adecuado. A partir de ahí, escapa del sandbox de Safari (la caja de seguridad del navegador), salta al proceso de la GPU, luego al servicio de reproducción multimedia, y finalmente escala privilegios en el kernel para obtener control total.

Una vez dentro, DarkSword despliega un componente de espionaje capaz de extraer correos electrónicos, archivos de iCloud Drive, contactos, mensajes SMS, historial de Safari, cookies, datos de carteras de criptomonedas, nombres de usuario, contraseñas, fotos e historial de llamadas. Todo se envía a un servidor externo y luego se borran las huellas.

DarkSword fue usado por al menos tres grupos distintos: un grupo vinculado a operaciones de espionaje rusas contra objetivos ucranianos, una empresa de vigilancia comercial turca llamada PARS Defense contra usuarios en Turquía y Malasia, y un tercer grupo no identificado. El hecho de que múltiples actores usen la misma herramienta sugiere que existe un mercado secundario donde estos kits se compran y venden.

Qué hacer: La mejor defensa contra herramientas de este nivel es mantener el dispositivo en la última versión de iOS y considerar activar el Modo de Aislamiento si manejas información especialmente sensible.

Qué implica esto para los usuarios normales

Es tentador pensar que estas herramientas solo se usan contra diplomáticos, periodistas o activistas. Y es cierto que los primeros objetivos suelen ser personas de alto perfil. Pero la trayectoria de Coruna demuestra que las herramientas de espionaje no se quedan en el ámbito estatal: acaban en manos de ciberdelincuentes comunes que las usan en ataques masivos.

Hoy, visitar una web fraudulenta con un iPhone sin actualizar puede ser suficiente para que un atacante tenga acceso total a tu dispositivo. No necesitas ser un objetivo de espionaje para ser víctima.

Para un autónomo o un pequeño negocio, las consecuencias pueden ser devastadoras: acceso a datos de clientes, credenciales bancarias, información fiscal y comunicaciones privadas. Un compromiso de este tipo puede derivar en pérdidas económicas directas, daño reputacional y problemas legales relacionados con la protección de datos.

Los atacantes buscan precisamente los dispositivos donde Stolen Device Protection no está correctamente configurado o donde las actualizaciones están pendientes.

Qué hacer: No subestimes estos riesgos por pensar que no eres un objetivo interesante. Los ataques masivos no discriminan: afectan a cualquier dispositivo vulnerable, independientemente de quién sea su dueño.

La respuesta de Apple

Apple ha respondido en varios frentes. Parcheó el zero-day más grave (CVE-2026-20700) en iOS 26.3 en febrero, publicó actualizaciones para iOS 15 y 16 el 11 de marzo para proteger dispositivos más antiguos, y el 25 de marzo lanzó la actualización masiva de iOS 26.4 con 36 parches adicionales.

Además, Apple envió alertas de seguridad críticas a usuarios de iPhone que todavía ejecutaban versiones de iOS 17 o anteriores, instándoles a actualizar de inmediato. La compañía también activó su función Safe Browsing en Safari por defecto, que bloquea las URLs maliciosas identificadas en estos ataques.

Para el futuro, las “Background Security Improvements” introducidas desde iOS 26.1 permitirán a Apple distribuir parches ligeros para componentes críticos como WebKit sin necesidad de una actualización completa del sistema.

Siguiente paso

Si después de leer esto no estás seguro de si tus dispositivos están protegidos, o si te preocupa la seguridad de la información de tu negocio en tus dispositivos Apple, es el momento de actuar.

En SeguridadWeb ayudamos a autónomos y pequeños negocios a evaluar su exposición a este tipo de amenazas y a implementar las medidas necesarias para protegerse. No necesitas ser un experto en ciberseguridad — para eso estamos nosotros.

Solicita tu auditoría gratuita