Una reciente investigación ha sacudido el mundo de la ciberseguridad al revelar que un sofisticado kit de herramientas para hackear iPhones, conocido como “Coruna”, ha sido utilizado en una serie de ataques globales. Lo más intrigante es que estas herramientas, diseñadas por el contratista militar estadounidense L3Harris, específicamente por su división Trenchant, estaban destinadas originalmente para agencias de inteligencia occidentales, pero terminaron en manos de grupos de hacking inesperados, incluyendo espías rusos y cibercriminales chinos.

La alarma saltó la semana pasada cuando Google divulgó que, a lo largo de 2025 (Nota: el artículo original indicó una fecha futura, aquí lo contextualizamos como una revelación reciente), se descubrió que “Coruna” había sido desplegado en operaciones altamente selectivas por un cliente gubernamental antes de ser adoptado por espías del gobierno ruso contra usuarios ucranianos. Posteriormente, el mismo kit fue utilizado por cibercriminales chinos en campañas a gran escala con el objetivo de sustraer dinero y criptomonedas. La trayectoria de estas herramientas es un preocupante recordatorio de cómo las capacidades ofensivas pueden salirse de control.

Expertos de la compañía de ciberseguridad móvil iVerify, tras analizar independientemente “Coruna”, sugirieron que pudo haber sido construido por una empresa que lo vendió al gobierno de EE. UU. Confirmando estas sospechas, dos ex empleados de L3Harris, con conocimiento de las herramientas de hacking de iPhone de la compañía, afirmaron a TechCrunch que “Coruna” era, al menos en parte, un desarrollo de Trenchant. “Coruna era definitivamente un nombre interno de un componente”, aseguró uno de los ex empleados, familiarizado con el proyecto.

La gran incógnita es cómo estas herramientas pasaron de un contratista exclusivo del gobierno de EE. UU. y sus aliados del grupo Five Eyes a manos tan dispares. La historia de Peter Williams, un ex gerente general de Trenchant, arroja algo de luz. Williams fue sentenciado a siete años de prisión el mes pasado por robar y vender ocho herramientas de hacking de la compañía a Operation Zero, una empresa rusa que se especializa en la compra de exploits de día cero. Aunque no está directamente confirmado que “Coruna” fuese parte de este lote, la similitud en las circunstancias es notable. La venta por parte de Williams a una entidad vinculada al gobierno ruso y a cibercriminales podría explicar la difusión inicial del kit.

Además, los investigadores de Google vincularon dos exploits específicos de “Coruna”, llamados Photon y Gallium, con la “Operación Triangulación”, una sofisticada campaña de hacking revelada por Kaspersky en 2023, que supuestamente se usó contra usuarios de iPhone en Rusia. Kaspersky, aunque nunca atribuyó públicamente la operación al gobierno de EE. UU., utilizó un logo para la campaña que curiosamente recuerda al de L3Harris, una táctica sutil que la compañía ha empleado en el pasado para señalar indirectamente a los responsables. La comunidad de ciberseguridad observa de cerca cómo estas poderosas herramientas, inicialmente creadas para la defensa nacional, se convierten en armas en el ciberespacio global, desafiando la seguridad de millones de usuarios de iPhone.