La irrupció de una nova eina d'hackeig per a iPhone anomenada Coruna ha encès totes les alarmes al sector de la ciberseguretat. El que en principi semblava un arsenal reservat a operacions molt selectes s'ha acabat utilitzant en campanyes molt més àmplies i amb motivacions purament econòmiques, afectant usuaris de diferents regions, inclòs l'entorn europeu, com el hackeig massiu a Spotify.
Segons les anàlisis publicades pel Grup d'Intel·ligència d'Amenaces de Google (GTIG) i la signatura especialitzada iVerify, Coruna no és un simple exploit aïllat, sinó un kit dexplotació completa i modular, capaç dencadenar diverses vulnerabilitats de iOS per prendre el control del dispositiu amb tot just carregar una pàgina web maliciosa. Aquesta evolució, des de l'espionatge estatal fins al crim organitzat, reobre el debat sobre què passa quan les anomenades “ciberarmes” s'escapen dels circuits controlats.
Què és Coruna ia quins iPhones afecta
D'acord amb la documentació publicada pel GTIG, Coruna és un kit d'explotació dissenyat específicament per atacar iPhones amb versions de iOS compreses entre la 13.0 i la 17.2.1. No es tracta d'una fallada puntual, sinó d'un conjunt de components capaços de combinar-se per superar defenses diferents del sistema operatiu.
Els investigadors descriuen cinc cadenes d'atac completes i un total de 23 exploits diferents integrats a l'eina. Bona part daquests atacs es dirigeixen contra WebKit, el motor que utilitzen Safari i altres navegadors a iPhone, cosa que permet comprometre el telèfon només visitant una web manipulada sense necessitat de descàrregues ni interacció addicional.
Una de les característiques que més preocupa els experts és la capacitat de Coruna per realitzar infeccions silencioses mitjançant tècniques de “pou d'aigua”. Aquest enfocament consisteix a inserir el codi maliciós a pàgines que les víctimes consulten de manera habitual, de manera que la intrusió es produeix de manera discreta i difícil de detectar per a l'usuari mitjà.
Quan la cadena de vulnerabilitats s'executa amb èxit, el kit és capaç de instal·lar spyware, desplegar diferents tipus de malware i espiar o robar dades sensibles emmagatzemades a l'iPhone. Entre els objectius potencials figuren missatges, ubicació, credencials d'accés, arxius personals i fins i tot informació usada per gestionar serveis financers o criptomonedes.
Tot i que el seu abast històric abasta des de iOS 13.0 fins a iOS 17.2.1, les versions més recents del sistema operatiu d'Apple ja no serien vulnerables a aquest conjunt concret d'exploits, segons les conclusions divulgades per Google i iVerify. Tot i així, la quantitat de dispositius que segueixen desactualitzats manté viu el risc, especialment en regions amb un alt parc d'iPhones en ús diari.
De l'espionatge selectiu a campanyes massives de ciberdelinqüència
El recorregut de Coruna mostra amb claredat com una eina pensada per a operacions de molt alt nivell pot acabar fora de control. Els primers rastres d'activitat documentats pel Grup d'Intel·ligència d'Amenaces de Google es remunten al 2025, quan es va detectar l'ús de fragments del kit al que van descriure com una operació molt delimitada vinculada a un proveïdor de vigilància digital que treballaria per a algun client governamental.
Amb el temps, les mateixes tècniques van aparèixer a atacs dirigits a usuaris ucraïnesos, en una campanya atribuïda al grup rus UNC6353. En aquest escenari, els atacants havien incrustat el codi dexplotació en pàgines web ucraïneses, aprofitant el context del conflicte i buscant comprometre dispositius dinterès estratègic.
Poc després, els investigadors van localitzar una versió més evolucionada del toolkit a les mans d'un actor amb motivació econòmica que opera des de la Xina, identificat com a UNC6691. En aquesta fase, la finalitat principal va deixar de ser la vigilància política i va passar a centrar-se en el robatori d'actius digitals, especialment criptomonedes, aprofitant la popularitat daquests serveis entre determinats perfils dusuaris.
A les campanyes vinculades a aquest grup xinès, els operadors de Coruna es van recolzar en llocs de criptomonedes i plataformes d'apostes en idioma xinès per atraure les víctimes. Un cop infectats els dispositius, el codi maliciós afegia mòduls especialitzats en rastrejar i extreure frases llavor, credencials d'accés i altres dades associades a moneders cripte i serveis financers.
Les anàlisis d'iVerify estimen que almenys 42.000 iPhones podrien haver-se vist compromesos en aquesta última onada, cosa que dóna idea del salt des d'operacions discretes a campanyes d'escala molt més gran. El cas de Coruna il·lustra com exploits de màxim nivell deixen de ser exclusius d'agències d'intel·ligència quan es comencen a compartir, revendre o filtrar, multiplicant el seu impacte sobre usuaris corrents.
Com funciona Coruna tècnicament als iPhone
A nivell tècnic, Coruna es presenta com un sistema modular, dissenyat per adaptar-se a diferents objectius i entorns. Els operadors poden combinar diferents components segons el tipus datac que vulguin dur a terme: vigilància prolongada, robatori dinformació financera, obtenció daccés inicial per a operacions posteriors, entre altres escenaris.
El procés sol arrencar quan lusuari accedeix a una pàgina que ha estat compromesa amb els scripts dexplotació. A partir d'aquí, el kit aprofita vulnerabilitats presents a WebKit i en altres elements d'iOS per executar la primera baula de la cadena. Aquest pas inicial obre la porta a altres exploits que van elevant a poc a poc els privilegis dins del sistema.
Un cop obtinguts permisos suficients, els atacants tenen la capacitat de instal·lar spyware, registrar pulsacions, exfiltrar documents o interceptar comunicacions. A les variants emprades per grups amb fins econòmics s'ha observat un interès especial per monitoritzar aplicacions financeres, gestors de carteres de criptomonedes i serveis de banca mòbil.
Les anàlisis també indiquen que Coruna incorpora verificacions per detectar si l'iPhone té activat el Mode de Bloqueig o Mode d'Aïllament d'Apple. Si identifiqueu que aquesta funció de protecció avançada està en ús —habitual entre periodistes, activistes, personal governamental o directius—, el kit pot optar per no executar la infecció per reduir el risc de ser detectat i analitzat per experts.
Tot i el nivell de sofisticació, els investigadors subratllen que l'eficàcia real del kit es veu limitada per les actualitzacions que Apple ha anat desplegant. La companyia ha corregit una a una les vulnerabilitats aprofitades per Coruna, de manera que les darreres versions d'iOS ja no serien susceptibles a aquestes cadenes d'atac concretes. El problema, com sol passar, rau en aquells dispositius que segueixen sense actualitzar-se.
Possibles vincles amb marcs d'explotació usats per la NSA
Una de les qüestions més delicades del cas té a veure amb el possible origen de Coruna i les similituds amb eines d'intel·ligència estatals. Google ha estat prudent als seus informes públics i evita assenyalar directament cap país, però la companyia iVerify sí que ha anat un pas més enllà en les seves apreciacions tècniques.
Després d'aplicar enginyeria inversa a una variant de Coruna emprada en campanyes centrades en criptomonedes, coneguda com a CryptoWaters, els analistes d'iVerify van detectar paral·lelismes amb frameworks prèviament associats a l'Agència de Seguretat Nacional dels Estats Units (NSA). Aquestes semblances comprendrien des de patrons de codificació fins a la manera com s'encadenen diverses vulnerabilitats.
El cofundador d'iVerify, Rocky Cole, ha assenyalat que el nivell de complexitat tècnica i el cost estimat de desenvolupament apunten una entitat amb recursos molt per sobre d'un grup criminal corrent. A més, el codi analitzat presenta trets que suggereixen que hauria estat escrit per programadors de parla anglesa, cosa que coincideix amb altres marcs atribuïts en el passat a operacions d'intel·ligència occidentals.
Durant l'anàlisi també es van identificar similituds entre parts de Coruna i components utilitzats en l'anomenada Operació Triangulació, una campanya descoberta el 2023 que va afectar dispositius iOS d'empleats de la signatura de ciberseguretat Kaspersky. En aquell moment, el govern rus va acusar públicament la NSA d'estar darrere d'aquests atacs, encara que Washington no va confirmar ni va desmentir les acusacions.
Tot i així, els experts recorden que l'atribució al terreny de la ciberseguretat és extremadament complexa. Sense proves concloents, les connexions s'han de prendre amb cautela. El que sí que sembla clar és que desenvolupar un arsenal del tipus de Coruna hauria requerit una inversió de milions de dòlars i equips especialitzats treballant durant anys, cosa que encaixa millor amb el perfil d'un actor estatal que amb un grup improvisat.
El risc que les ciberarmes es filtrin al mercat negre
Més enllà de qui estigués inicialment darrere del desenvolupament, el cas de Coruna revifa un temor recurrent a la comunitat de seguretat: la possibilitat que eines creades per a espionatge estatal acabin circulant lliurement. Quan això passa, deixen de ser un problema limitat a conflictes geopolítics i passen a afectar empreses, administracions i ciutadans de molts països.
Un antecedent que s'esmenta sovint és EternalBlue, l'exploit desenvolupat per la NSA que va ser robat i filtrat el 2017. Aquella eina, en teoria destinada a operacions molt controlades, va acabar sent utilitzada en atacs massius com WannaCry i NotPetya, causant interrupcions en hospitals, empreses i organismes públics de tot el món, inclosa Europa, i episodis posteriors com el gran hackeig a Netflix.
Alguns especialistes consideren que Coruna podria marcar un punt d'inflexió similar a l'ecosistema mòbil, en demostrar que kits d'explotació extremadament sofisticats poden acabar integrats en campanyes de ciberdelinqüència adreçades a usuaris comuns. La diferència és que, en aquest cas, l'objectiu principal són els telèfons, que han esdevingut l'eix de bona part de la nostra vida digital.
Els informes de Google i iVerify apunten a la possible existència de un mercat actiu d'exploits “de segona mà”, en què marcs d'explotació inicialment usats per agències o proveïdors de vigilància passen a mans d'altres actors a través d'intermediaris. Quan una eina entra en aquest circuit, subratllen els experts, és pràcticament impossible tornar a controlar qui la utilitza i amb quins fins.
Aquesta dinàmica obliga a replantejar lequilibri entre l'acumulació de vulnerabilitats amb fins ofensius i la responsabilitat de reportar-les als fabricants. Cada vegada que es decideix no informar d'una fallada crítica, s'assumeix que aquesta informació romandrà sota control, cosa que casos com la de Coruna posen seriosament en dubte.
Un mercat opac d'exploits i l'impacte a Espanya i Europa
Darrere d'episodis com el de Coruna sol trobar-se un mercat internacional poc regulat de brokers de vulnerabilitats. Aquests intermediaris compren exploits i eines d'intrusió per sumes molt elevades per després revendre-les a governs, empreses de vigilància o fins i tot actors criminals que operen pel seu compte.
Recentment, es va conèixer la condemna a set anys de presó per a un executiu de l'empresa nord-americana Trenchant, després de provar-se que havia venut eines d'hackeig a un intermediari rus especialitzat en exploits de dia 0. Casos d'aquest tipus il·lustren com pot ser de difús el límit entre la indústria de la ciberseguretat, les operacions d'intel·ligència i el mercat negre.
En el context europeu, i en particular a Espanya, aquesta realitat té implicacions directes. L'iPhone s'usa de forma massiva per a banca digital, autenticació en dues passes, accés a serveis públics i gestió d'informació corporativa. Si una eina com Coruna cau en mans de grups orientats al benefici econòmic, el risc ja no és només la pèrdua de privadesa, sinó també moviments no autoritzats de diners, robatoris didentitat o filtracions de dades sensibles.
Els experts adverteixen que fins i tot si les vulnerabilitats concretes explotades per Coruna estan pegats, els coneixements i frameworks desenvolupats al voltant d'aquest kit es poden reutilitzar per adaptar-se a noves falles en versions posteriors de l'iOS. És a dir, el perill no desapareix, sinó que evoluciona amb el temps juntament amb les pròpies actualitzacions del sistema.
En un entorn on moltes petites i mitjanes empreses europees continuen confiant en dispositius mòbils per a tasques crítiques, la infecció dun únic iPhone desactualitzat pot servir de porta dentrada a xarxes internes, sistemes de gestió o repositoris de documents. Aquesta dependència converteix la seguretat del mòbil en un element clau de qualsevol estratègia de ciberprotecció.
Com protegir el teu iPhone davant de Coruna i amenaces similars
La part relativament positiva del cas és que Coruna ja no és eficaç contra les versions més recents d'iOS, gràcies a les correccions que Apple ha anat incorporant. Tot i això, mentre hi hagi un nombre significatiu de dispositius que segueixin executant iOS 13, 14, 15, 16 o primeres versions de iOS 17 sense pegats, els operadors d'aquest tipus de kits conservaran una base de possibles víctimes.
Per a usuaris a Espanya ia la resta d'Europa, la primera mesura de defensa és clara: mantenir l'iPhone sempre actualitzat a la versió de iOS més recent disponible per al dispositiu. Molts atacs d'aquesta mena segueixen sent rendibles perquè una part important del parc de mòbils es queda ancorada en versions antigues durant mesos o fins i tot anys.
En aquells casos en què no sigui possible instal·lar la darrera versió —per compatibilitat amb aplicacions internes, restriccions corporatives o models d'iPhone més veterans—, activar el Mode de Bloqueig dApple pot afegir una capa extra de protecció. Aquesta funció redueix la superfície d'atac deshabilitant certs comportaments que solen aprofitar els kits d'explotació avançats.
També és recomanable extremar la cautela en visitar webs poc fiables o en prémer enllaços d'origen dubtós, especialment si el dispositiu s'usa per a operacions sensibles com gestionar comptes bancaris, inversions o moneders de criptomonedes. Tot i que Coruna no requereix més interacció que carregar la pàgina, disminuir l'exposició a llocs arriscats redueix les probabilitats de veure's atrapat en una campanya de “pou d'aigua”.
A l'àmbit corporatiu ia les administracions públiques, la gestió centralitzada de polítiques de seguretat i actualitzacions a iOS resulta fonamental. Comptar amb inventaris actualitzats de dispositius, aplicar pegats de manera coordinada i limitar lús de versions antigues són passos clau per reduir la superfície datac que poden explotar aquest tipus deines.
El cas de l'eina d'hackeig per a iPhone anomenada Coruna reflecteix com un kit d'explotació extremadament avançat pot passar en pocs anys d'operacions discretes de vigilància a formar part de l'arsenal de diferents grups, des de proveïdors vinculats a governs fins a ciberdelinqüents russos i xinesos. Encara que Apple hagi tancat la majoria de les bretxes explotades a les últimes versions de iOS, l'existència de milers de dispositius desactualitzats a Europa manté viu el risc i subratlla la necessitat de combinar actualitzacions, funcions de protecció avançades i hàbits de navegació prudents per no donar per fet la seguretat del mòbil.
