iPhone Crypto Wallets Under Siege by State-Grade Malware

• La amenaza “Coruna exploit kit” utiliza 23 vulnerabilidades de iOS para atacar billeteras de criptomonedas.
• Esta herramienta estatal, ahora al alcance de criminales comunes, marca un cambio en el panorama de ciberseguridad.
• Las billeteras más afectadas incluyen MetaMask, BitKeep y Trust Wallet en dispositivos iOS.
• Recomiendan trasladar los criptoactivos a almacenamientos en frío para una seguridad mejorada.

WEEX Crypto News, 2026-03-05 13:07:30

En un giro preocupante para los usuarios de iPhone dedicados al comercio de criptomonedas, sale a la luz una amenaza sofisticada que desafía la seguridad previamente considerada casi invulnerable de los dispositivos de Apple. Este fenómeno, conocido como “Coruna exploit kit”, está manipulando 23 vulnerabilidades diferentes encontradas en iOS para vulnerar incluso las medidas de seguridad más avanzadas de Apple y vaciar billeteras digitales. Esta situación crítica ha levantado serias preocupaciones en la comunidad cripto, empujando a muchos a reconsiderar su fe en la invulnerabilidad de sus dispositivos.

La aparición de este kit no es un simple golpe pequeño a la presunta seguridad de los iPhones. Más bien, revela una capacidad casi inimaginable hasta ahora: convertir herramientas de espionaje de nivel estatal en armas potenciales para el robo de criptomonedas en el mercado minorista. Un informe reciente de Google TAG destaca que este kit no se limita a cerrar aplicaciones o servir anuncios; va un paso más allá al buscar furtivamente frases semilla BIP39, extraer códigos QR y capturar llaves privadas de dispositivos no actualizados. Para cuando el usuario percibe que su navegador ha sido comprometido, los fondos ya están fuera de su alcance.

La amenaza del kit Coruna: un fenómeno de espionaje masivo

Para entender la gravedad de la amenaza que representa el kit Coruna, es esencial poner en contexto el gran cambio que implica para las operaciones de ciberseguridad. Durante años, las cadenas de explotación avanzadas que permiten este tipo de intrusiones complejas eran exclusivas de agencias de inteligencia de naciones. Coruna representa un cambio aterrador en esta dinámica, reorganizando herramientas de vigilancia de nivel estatal en formas destinadas al robo minorista a gran escala. Este tipo de transformaciones es lo que tiene sumido en la preocupación a la comunidad cripto y a los defensores de la seguridad tecnológica.

Un informe de Chainalysis en 2025 resalta que el mercado del robo de criptomonedas ha alcanzado un valor de más de 75 mil millones de dólares, y los drenadores de billeteras constituyen una parte sustancial de esta cifra. Las herramientas como Coruna, que prácticamente automatizan el proceso de infiltración y robo de secretos digitales, son fundamentales para esta alarmante tendencia.

La eficiencia inquietante del kit Coruna

Lo que hace al kit Coruna particularmente perturbador es su metodología de “ataque de un solo clic”. Este ataque se activa cuando un usuario visita un sitio comprometido, a menudo disfrazado como plataforma de juegos o noticias. El sistema capitaliza vulnerabilidades en WebKit para abrir una brecha en el dispositivo, utilizando posteriormente explotaciones de escalación de privilegios locales para escapar del entorno seguro del navegador.

Desde las versiones de iOS 13.0 hasta la 17.2.1, Coruna emplea múltiples puntos de entrada para instalar un drenador de billeteras criptográficas diseñado específicamente para robar activos en blockchain. Inspecciona el sistema de archivos en busca de cadenas relacionadas con criptomonedas, revisa la biblioteca de fotos en busca de códigos QR, y extrae frases mnemónicas de aplicaciones de notas. Este conjunto de operaciones, realizado de manera automática, puede resultar en el robo inmediato e irreversible de activos, poniendo en jaque la seguridad de cualquier usuario que utilice su dispositivo Apple para comerciar o almacenar criptomonedas.

La democratización de herramientas de espionaje

En el pasado, los grupos como NSO se encargaban de almacenar cadenas de explotación de esta magnitud para la vigilancia específica de objetivos de alto valor, tales como disidentes, periodistas o diplomáticos. Coruna ha invertido esta dinámica, utilizando vulnerabilidades que alguna vez fueron aprovechadas para el espionaje estatal y entregándolas a grupos criminales motivados económicamente.

El puente que alguna vez existió entre las intrincadas operaciones de hackeo de MetaMask o el vaciado de un Trust Wallet, y la capacidad de los criminales comunes para ejecutar tales ataques, ha colapsado. Este fenómeno sigue un ciclo perturbador en el que las herramientas desarrolladas para el espionaje eventualmente terminan siendo absorbidas por el ecosistema cibercriminal en general. Es obvio entonces que los atacantes detrás de Coruna están menos preocupados por secretos estatales, y más interesados en la liquidez, en la facilidad con la que pueden transformar esta información en activos rápidamente movibles.

La magnitud de este robo industrializado se ilustra con las cifras del iVerify firm, que documentó la explotación afectando al menos 42,000 dispositivos, aunque las pérdidas totales aún no han sido anunciadas.

Usuarios de iOS bajo la mira: ¿quiénes son los más afectados?

Los comerciantes de criptomonedas que usan sus dispositivos móviles y que mantienen billeteras de autocustodia tienen un perfil altamente expuesto. Los vectores de ataque suelen estar incrustados en sitios que los usuarios de cripto frecuentan habitualmente: interfaces de apuestas no reguladas, páginas de reclamo de tokens dudosos y tiendas de aplicaciones de terceros.

El malware de Coruna apunta explícitamente a los directorios de datos asociados con las billeteras no custodiales más importantes. Busca en los cofres encriptados de MetaMask, BitKeep y Trust Wallet, y si la encriptación es débil, o si el usuario ha guardado su contraseña en una clave o nota comprometida, la billetera es drenada.

La pauta de comportamiento del usuario juega un papel clave en esto. Los comerciantes de dispositivos móviles interactúan frecuentemente con DApps y firman transacciones sobre la marcha, a menudo priorizando la rapidez sobre la higiene de seguridad. Coruna explota esta complacencia sin remordimientos. No necesita engañarlos para que firmen una transacción incorrecta; simplemente roba las llaves del castillo mientras navegan.

Mientras los usuarios se adentran en esta incertidumbre digital, se aconseja proceder con extrema cautela y considerar seriamente trasladar sus fondos digitales hacia métodos de almacenamiento en frío, como Ledger o Trezor, para asegurar una capa extra de protección.

Preguntas Frecuentes

¿Qué es el kit Coruna y por qué es una amenaza?

El kit Coruna es una serie de herramientas diseñadas para explotar 23 vulnerabilidades en iOS, permitiendo que criminales cibernéticos drenen billeteras de criptomonedas en dispositivos de Apple.

¿Cuáles son las billeteras más afectadas por el kit Coruna?

MetaMask, BitKeep y Trust Wallet han sido identificadas como las más vulnerables, dado que el kit busca activamente encriptaciones débiles para extraer fondos.

¿Cómo operan los ataques del kit Coruna?

Estos ataques comienzan al visitar un sitio comprometido que parece legítimo, y luego el sistema del kit aprovecha vulnerabilidades para acceder a datos críticos de criptomonedas en el dispositivo.

¿Qué pueden hacer los usuarios para protegerse?

Se recomienda mover los activos de criptomonedas a soluciones de almacenamiento en frío como Ledger o Trezor y ejercer cautela con los sitios que se visitan y las aplicaciones que se instalan en dispositivos móviles.

¿Por qué representa un riesgo tan grande para los comerciantes móviles?

Los comerciantes que confían en sus dispositivos móviles suelen priorizar la conveniencia sobre la seguridad, lo que los hace especialmente vulnerables a las tácticas de rápida ejecución del kit Coruna.