Categoría: Virus & Amenazas

Un nuevo descubrimiento en el mundo de la ciberseguridad ha encendido las alarmas entre expertos y empresas tecnológicas. Investigadores de Google han identificado “Coruna”, un sofisticado kit de exploits capaz de hackear iPhones simplemente visitando una página web maliciosa, lo que supone uno de los ataques más complejos detectados hasta ahora en el ecosistema de Apple. 

La gravedad del asunto no está solo en su potencia técnica, sino en su origen y evolución: todo apunta a que esta herramienta pudo haber sido diseñada originalmente para operaciones de inteligencia y posteriormente terminó circulando entre hackers y grupos criminales.

Qué es Coruna y por qué preocupa a los expertos

Coruna es un kit de exploits para iOS, es decir, un conjunto de herramientas diseñadas para aprovechar vulnerabilidades del sistema operativo de Apple. Este kit utiliza 23 fallos distintos en iOS combinados en cinco cadenas completas de ataque, lo que le permite saltarse múltiples capas de seguridad del dispositivo. 

Su funcionamiento es especialmente peligroso porque no requiere interacción del usuario más allá de abrir una página web comprometida. A partir de ahí, el ataque puede ejecutar código malicioso, instalar spyware o robar información personal del teléfono. 

Entre los datos que podría extraer se encuentran:

• mensajes y archivos multimedia
• credenciales y datos financieros
• carteras de criptomonedas
• información personal almacenada en el dispositivo  

Este tipo de herramientas se conocen como “exploit kits web”, software que detecta automáticamente las vulnerabilidades del navegador o del sistema y ejecuta el ataque apropiado sin intervención del usuario. 

De herramienta de espionaje a arma del cibercrimen

Los investigadores del Google Threat Intelligence Group (GTIG) detectaron inicialmente partes del kit en 2025 en campañas de vigilancia vinculadas a empresas de spyware. Más tarde, una versión más completa apareció en ataques relacionados con grupos de espionaje y cibercriminales internacionales. 

Por ejemplo:

• Un grupo vinculado a la inteligencia rusa utilizó el exploit en páginas web ucranianas para espiar a usuarios.
• Posteriormente apareció en campañas dirigidas a robar criptomonedas mediante sitios web falsos de apuestas o trading.  

Este salto desde operaciones de espionaje a ataques masivos ha encendido las alarmas en la industria de la seguridad, porque indica que herramientas de nivel gubernamental pueden terminar circulando en mercados clandestinos.

Qué iPhone están en riesgo

El exploit afecta a dispositivos con iOS entre la versión 13.0 y la 17.2.1, sistemas que estuvieron activos entre 2019 y 2023. 

Según estimaciones de investigadores, más de 40.000 dispositivos pudieron verse comprometidos en algunas campañas detectadas. 

La mayoría de los ataques explotan fallos en WebKit, el motor del navegador Safari que utilizan muchas aplicaciones de iOS.

Cómo proteger tu iPhone

La mitigación, afortunadamente, es relativamente clara desde el punto de vista operativo:

1. Actualizar iOS a la última versión disponible. Apple ya ha corregido las vulnerabilidades utilizadas por Coruna.
2. Activar el Modo de Aislamiento (Lockdown Mode) si existe riesgo de ataques avanzados.
3. Evitar navegar en sitios web sospechosos o enlaces desconocidos.  

Curiosamente, el propio exploit detecta si el iPhone tiene activado el modo de aislamiento y detiene el ataque para evitar ser descubierto, lo que evidencia su alto nivel de sofisticación. 

✅ Conclusión:

Coruna marca un punto de inflexión en la seguridad móvil. Demuestra que incluso plataformas consideradas muy seguras pueden ser vulnerables cuando herramientas avanzadas de espionaje terminan filtrándose al mercado negro. La lección es clara: mantener el sistema actualizado ya no es una recomendación, es una política de supervivencia digital.

Los investigadores en ciberseguridad han descubierto una creciente campaña de extensiones maliciosas en Google Chrome que engañan a millones de usuarios para robar sus credenciales, secuestrar sesiones activas y acceder a información sensible sin su consentimiento. La amenaza ya ha afectado a cientos de miles de personas y sugiere que los ciberdelincuentes están aprovechando la popularidad de herramientas relacionadas con inteligencia artificial para camuflar malware en extensiones aparentemente útiles.

🕵️ 300 000 usuarios afectados por extensiones disfrazadas

Una red de al menos 30 extensiones maliciosas, agrupadas bajo campañas como AiFrame, se ha infiltrado en la Chrome Web Store haciéndose pasar por asistentes de IA (por ejemplo, supuestos complementos para ChatGPT o Gemini). Aunque prometen funciones atractivas como resúmenes de texto o traducción, su código en realidad actúa como spyware para interceptar datos de navegación y credenciales de acceso.

🔒 Robos más allá de contraseñas

No se trata únicamente de contraseñas. En algunos casos, las extensiones maliciosas han sido vinculadas a ataques dirigidos a plataformas corporativas, como Workday, NetSuite o SAP SuccessFactors, poniendo en riesgo no solo cuentas personales, sino también credenciales de empleados y datos empresariales.

🔄 Técnicas de sigilo y persistencia

Los delincuentes detrás de estas extensiones usan métodos sofisticados para operar en segundo plano y modificar su comportamiento tras la instalación, lo que dificulta la detección y eliminación por parte de los usuarios. Incluso extensiones inicialmente legítimas pueden ser secuestradas por atacantes tras un update malicioso.

📉 Más amenazas en el ecosistema de extensiones

Este fenómeno no es aislado. Estudios de seguridad han identificado otras campañas de extensiones maliciosas desde 2017, algunas capaces de interceptar tráfico, robar cookies de sesión o incluso insertar credenciales robadas en otros navegadores, facilitando el secuestro de cuentas sin necesidad de contraseña.

---

🛡️ Recomendaciones para protegerte

⚠️ Audita tus extensiones instaladas: revisa tu navegador y elimina cualquier complemento que no reconozcas o que tenga permisos excesivos.

🔐 Activa autenticación en dos pasos (2FA) en todos tus servicios críticos.

🧹 Mantén actualizado Chrome y el sistema operativo, y usa soluciones de seguridad que alerten sobre extensiones sospechosas.

---

📉 Evita extensiones ocultas o con pocos comentarios/descargas verificables.

🛑 Extensiones específicas que debes eliminar inmediatamente

Según múltiples informes de seguridad recientes:

🔎 Extensiones asociadas a campañas de robo de credenciales y secuestro de sesiones:

• DataByCloud Access Tool — se hizo pasar por una herramienta de acceso empresarial pero fue usada para robar tokens de sesión.
• Access 11 — otro complemento con el mismo propósito malicioso.
• DataByCloud 1 y DataByCloud 2 — extensiones impostoras enfocadas en plataformas corporativas.
• Software Access — falsa herramienta que permitía acceso remoto y exfiltración de datos.
• Phantom Shuttle (dos variantes) — prometía servicios de proxy o VPN, pero en realidad interceptaba tráfico y robaba credenciales.

Nota: estas extensiones ya han sido retiradas de la Chrome Web Store en muchos casos, pero si las instalaste antes, quedan en tu navegador hasta que las elimines manualmente.

---

🧹 Recomendaciones claras para asegurar tus navegadores

1️⃣ Haz limpieza total de extensiones

• Abre chrome://extensions y revisa cada complemento.
• Elimina todo lo siguiente de inmediato:
  • DataByCloud Access Tool, Access 11, DataByCloud 1, DataByCloud 2, Software Access.
  • Phantom Shuttle (todas las variantes detectadas).
• Si no estás 100% seguro del propósito de una extensión, bórrala. Las extensiones tienen acceso a toda tu actividad web, incluyendo credenciales y datos de sesión.

2️⃣ Revisa permisos extravagantes

• Si una extensión pide:
  • Leer y cambiar todos tus datos en todos los sitios web.
  • Acceder a cookies o credenciales almacenadas.
  • Inyectar scripts en cada página visitada
    … eso es un alerta rojo directo 🚨. Solo las extensiones de confianza deben tener estos permisos.

3️⃣ Actualiza contraseñas críticas

Después de quitar extensiones maliciosas:

• Cambia contraseñas de tus cuentas principales (correo, banca, redes sociales).
• Si usas gestores de contraseñas, genera contraseñas únicas y fuertes.
• Activa 2FA (autenticación de dos pasos) en los servicios que lo permitan (correo, bancos, etc.).

4️⃣ Usa herramientas de seguridad

• Instala antivirus/antimalware confiables para escanear tu sistema tras la eliminación.
• Usa escáner de extensiones (servicios como VirusTotal) para revisar archivos CRX sospechosos.

5️⃣ Evita instalar extensiones desde enlaces directos desconocidos

No instales extensiones solo porque:

• Aparecen en redes sociales.
• Prometen ventajas “milagrosas”.
• Tienen pocos comentarios o están ocultas en la tienda oficial.

---

📌 Recomendaciones corporativas (si gestionas equipos)

• Bloquea extensiones maliciosas a través de políticas de empresa (Chrome Enterprise).
• Mantén un inventario de extensiones permitidas.
• Haz auditorías periódicas en todos los navegadores de empleados.

En los últimos días ha circulado una alarma digital que está poniendo en jaque la seguridad de millones de contribuyentes en España. Según informes de firmas especializadas en ciberseguridad y publicaciones en foros de la dark web, un actor autodenominado “HaciendaSec” afirma haber accedido y ofrecido a la venta una base de datos supuestamente extraída de los sistemas del Ministerio de Hacienda, que contendría información personal, fiscal y bancaria de cerca de 47,3 millones de ciudadanos españoles.

📌 ¿Qué datos estarían en riesgo?

Según las publicaciones que circulan en la red, la supuesta base de datos incluiría:

• Nombre y apellidos.
• Número de DNI/NIF.
• Direcciones postales.
• Teléfonos y correos electrónicos.
• Detalles bancarios (números IBAN).
• Información relacionada con obligaciones fiscales.

La alarma saltó cuando la firma de monitorización de amenazas Hackmanac lanzó una alerta a través de la red social X (antes Twitter), señalando este posible compromiso.

🧩 ¿Es real el hackeo o solo una amenaza?

Hasta el momento no existe confirmación oficial de que los sistemas de Hacienda hayan sido vulnerados. El propio Ministerio ha asegurado que no hay evidencias de una intrusión en sus servidores tras las primeras verificaciones internas, aunque ha indicado que la investigación continúa para descartar por completo cualquier brecha.

Expertos en ciberseguridad señalan que cifras como la de 47,3 millones de afectados parecen exageradas si se tiene en cuenta el número real de contribuyentes, y recuerdan que en casos anteriores similares (como la supuesta filtración de datos de otras empresas) los volúmenes iniciales de datos reclamados por actores maliciosos no siempre se confirman tras auditorías profundas.

🔍 Recomendaciones para ciudadanos

Aunque aún no se haya confirmado una brecha, si crees que tus datos podrían estar comprometidos, los expertos recomiendan:

• Revisar periódicamente movimientos bancarios y comunicaciones no solicitadas.
• Activar alertas de fraude y servicios de supervisión de crédito.
• Estar atento a posibles intentos de phishing o suplantación de identidad (especialmente vía email o SMS).

🛡️ En resumen

• ➤ Un supuesto actor está ofreciendo a la venta datos sensibles que, según afirma, provendrían del Ministerio de Hacienda.
• ➤ El Gobierno y los equipos técnicos aseguran que no hay evidencia clara de hackeo hasta ahora.
• ➤ La investigación sigue abierta y se espera más información oficial en los próximos días.

Esta historia sigue en desarrollo. Mantente informado y revisa tus sistemas de seguridad digital para proteger tus datos personales.