Investigadores de seguridad han identificado un conjunto de poderosas herramientas de piratería capaces de comprometer iPhones que ejecutan software más antiguo que, según dicen, pasó de un cliente gubernativo a manos de ciberdelincuentes.

Google dijo el martes que identificó por primera vez el kit de explotación, denominado Coruña, en febrero de 2025 durante el intento de un proveedor de vigilancia de piratear el teléfono de determinado con software agente en nombre de un cliente del gobierno. Meses más tarde encontró el mismo kit de explotación dirigido a usuarios ucranianos en una campaña a gran escalera por parte de un camarilla de espionaje ruso, y luego descubrió que lo había utilizado un hacker con motivación financiera en China.

No está claro cómo se filtraron o proliferaron las herramientas, pero los investigadores de seguridad de Google advirtieron sobre un mercado emergente para exploits “de segunda mano”, que se venden a piratas informáticos motivados por el metálico para extraer más valía del exploit.

El descubrimiento igualmente muestra cómo los exploits y las puertas traseras diseñados para ser utilizados por los gobiernos pueden filtrarse y, en última instancia, ser objeto de demasía por parte de ciberdelincuentes u otros actores no estatales. La empresa de seguridad móvil iVerify obtuvo y realizó ingeniería inversa de las herramientas de piratería, diciendo en una publicación de blog que vinculaba el kit de explotación de Coruña con el gobierno de EE. UU., basándose en similitudes con herramientas de piratería previamente atribuidas a Estados Unidos.

“Cuanto más extendido sea el uso, más seguro será que se produzca una fuga”, dijo iVerify. “Si adecuadamente iVerify tiene alguna evidencia de que esta utensilio es un entorno filtrado del gobierno de EE. UU., eso no debería hacer sombra el conocimiento de que estas herramientas encontrarán su camino en la naturaleza y serán utilizadas sin escrúpulos por malos actores”.

Google dijo que las herramientas de piratería son poderosas, ya que pueden eludir las defensas de un iPhone simplemente visitando un sitio web solapado que contenga el código de explotación (por ejemplo, recibiendo un enlace solapado) en lo que se conoce como un ataque de “pila”. Según Google, el kit Coruña puede piratear un iPhone de cinco formas distintas confiando y encadenando 23 vulnerabilidades distintas en su astillero digital. Los dispositivos afectados van desde modelos de iPhone con iOS 13 hasta 17.2.1, que se lanzó en diciembre de 2023.

Según Wired, que informó por primera vez la mensajeel kit de Coruña contiene componentes que se utilizaron anteriormente en una campaña de piratería denominada Operación Triangulación. La empresa rusa de ciberseguridad Kaspersky afirmó en 2023 que el gobierno estadounidense intentó piratear varios iPhone de sus empleados.

Si adecuadamente las filtraciones de herramientas de piratería son raras, no son inauditas. En 2017, la Agencia de Seguridad Doméstico de EE. UU. descubrió que habían robado las herramientas que había desarrollado para piratear computadoras con Windows en todo el mundo. La puerta trasera de Windows, conocida como EternalBlue, se publicó más tarde y fue utilizada por ciberdelincuentes en ataques posteriores, incluido el ataque de ransomware WannaCry de 2017 por parte de Corea del Ideal.

TechCrunch igualmente informó recientemente sobre el caso de Peter Williams, exjefe del contratista de defensa estadounidense L3Harris Trenchant, quien fue sentenciado a más de siete abriles de prisión posteriormente de declararse culpable de robar y entregar ocho exploits a un corredor conocido por trabajar con el gobierno ruso.

Según los fiscales, Williams vendió exploits que eran capaces de piratear “millones de computadoras y dispositivos” en todo el mundo. Se vendió al menos un exploit a un corredor de Corea del Sur. No está claro si los exploits alguna vez fueron revelados a los fabricantes de software o si fueron parcheados.