Seguir usando un iPhone o iPad veterano es algo muy habitual en España y en otros paÃses europeos, pero cuando el sistema deja de avanzar versión tras versión, la seguridad puede quedarse claramente atrás. Para evitar que esos dispositivos se conviertan en un coladero, Apple ha publicado nuevos parches de emergencia dirigidos a modelos antiguos que no pueden dar el salto a las ediciones más recientes de iOS e iPadOS.
El objetivo de estas actualizaciones es frenar en seco a Coruna, un kit de exploits de alta complejidad que se aprovecha de fallos en el navegador y en el propio sistema para ejecutar código a distancia y tomar el control del dispositivo. No hablamos de una amenaza teórica: investigadores de Google y de la firma de seguridad iVerify han documentado su uso real, tanto en campañas de espionaje avanzado como en ataques para robar criptomonedas y otros datos sensibles.
Qué es el kit de exploits Coruna y cómo consigue atacar iPhone e iPad
Coruna es un conjunto de herramientas de explotación que actúa como un mecanismo de ataque en cadena: agrupa hasta 23 vulnerabilidades distintas organizadas en varias rutas completas de intrusión. Su diana son los dispositivos con iOS entre la versión 13.0 y la 17.2.1, es decir, generaciones que siguen muy presentes en el mercado de segunda mano y en muchas empresas europeas.
El punto de entrada suele ser una página web preparada especÃficamente. Basta con que el usuario acceda a un sitio malicioso o cargue contenido web manipulado para que el kit comience a funcionar, sin necesidad de que pulse en botones extraños o instale nada de forma explÃcita. A partir de ahÃ, Coruna identifica el modelo concreto y la versión exacta de iOS para escoger la cadena de explotación que mejor encaja.
Una vez ha definido su objetivo, el kit desencadena un ataque de ejecución remota de código a través de WebKit, el motor que usan Safari y muchas aplicaciones de iOS e iPadOS para mostrar contenido web. Mediante errores de memoria del tipo use-after-free y confusión de tipos, el atacante logra que el sistema ejecute instrucciones que no deberÃan estar permitidas.
Superado ese primer escalón, Coruna se centra en elevar privilegios y escapar de las capas de seguridad. Para ello, aprovecha fallos vinculados a mecanismos como Pointer Authentication Code (PAC) y a vulnerabilidades en el kernel de iOS, hasta alcanzar un nivel de control que le permite instalar implantes persistentes y moverse por el sistema casi sin restricciones.
Los analistas que han estudiado Coruna describen que estos implantes pueden alojarse en procesos del sistema y sobrevivir a reinicios mientras el dispositivo no esté completamente parcheado. Una vez activos, se encargan de recopilar información y enviarla cifrada a servidores de mando y control, incluyendo mensajes, credenciales, datos financieros e incluso frases semilla BIP39 de monederos de criptomonedas.
Otro detalle que subraya el nivel de sofisticación de este kit es su capacidad para detectar si el dispositivo usa modo de bloqueo avanzado (Lockdown Mode) o si el usuario navega en entornos más restringidos. Cuando percibe estas capas adicionales de protección, el propio Coruna tiende a abandonar el intento de explotación, lo que encaja con un desarrollo pensado por actores con un conocimiento profundo del ecosistema Apple.
Actualizaciones lanzadas: iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 y 16.7.5
Para hacer frente a esta amenaza, Apple ha liberado varias versiones de seguridad especÃficas para ramas antiguas del sistema que todavÃa concentran un gran número de usuarios. No añaden funciones visibles, pero cierran los agujeros que Coruna explotaba activamente.
En el caso de la rama más antigua, se ha publicado iOS 15.8.7 junto con iPadOS 15.8.7. Estas versiones están destinadas a terminales que se quedaron anclados en iOS 15 y que, sin estos parches, seguirÃan expuestos a ataques basados en el navegador y en fallos del núcleo del sistema.
Sobre la rama intermedia, Apple ha puesto a disposición de los usuarios iOS 16.7.15 e iPadOS 16.7.15, diseñadas para cubrir a los dispositivos que sà pudieron dar el salto a iOS 16 pero que quedaron excluidos de las versiones 17 y posteriores, asà como iOS 16.7.5 e iPadOS 16.7.5 en determinados lotes de actualización. En todos los casos, el mensaje es el mismo: son parches crÃticos de seguridad pensados para bloquear el kit de exploits Coruna y otras amenazas asociadas.
Las correcciones que ahora se llevan a iOS 15 y 16 ya habÃan llegado antes a versiones más nuevas del sistema —en su dÃa se incorporaron a la rama 17—, pero muchos de los modelos que se ven a diario en España y en la Unión Europea no pueden instalar esas ediciones recientes. De ahà que Apple haya optado por retroportar las soluciones a sistemas más antiguos y no dejar a esos usuarios en tierra de nadie.
Qué dispositivos se ven afectados y deben instalar el parche
El listado de modelos que reciben estas actualizaciones deja claro que el fabricante se ha centrado en terminales que aún tienen mucha presencia en la calle, tanto a nivel doméstico como en pequeñas empresas, administraciones y centros educativos europeos.
Por el lado de iOS 15.8.7 e iPadOS 15.8.7, las versiones están disponibles para:
- iPhone 6s y 6s Plus, en todas sus variantes.
- La familia completa de iPhone 7.
- iPhone SE de primera generación.
- iPad Air 2.
- iPad mini de cuarta generación.
- iPod touch de séptima generación.
En cuanto a la rama iOS 16.7.15 e iOS 16.7.5, los parches se dirigen a:
- iPhone 8.
- iPhone 8 Plus.
- iPhone X, que sigue muy extendido en el mercado de reacondicionados.
- iPad de quinta generación.
- iPad Pro de 9,7 pulgadas de primera generación.
- iPad Pro de 12,9 pulgadas de primera generación.
Para todos estos modelos, la recomendación de Apple y de los expertos en ciberseguridad es tajante: instalar la actualización cuanto antes, sin esperar a que el sistema la ofrezca de forma automática. Son dispositivos que, pese a su edad, continúan manejando correos, documentos de trabajo, acceso a banca online y verificación en dos pasos, de modo que un fallo de seguridad no es un problema menor.
Vulnerabilidades corregidas: WebKit, kernel e identificadores CVE clave
El grueso de los cambios incluidos en estas versiones se centra en dos frentes: WebKit (la capa que procesa contenido web) y el kernel de iOS (el corazón del sistema operativo). No hay novedades de interfaz, pero sà un ajuste profundo en la forma de gestionar la memoria y los permisos internos.
En la rama de iOS 16, Apple detalla la corrección de errores en WebKit que permitÃan que una página web maliciosa generase una corrupción de memoria al ser procesada. A partir de esa situación anómala, un actor malintencionado podÃa intentar ejecutar código arbitrario y utilizarlo como trampolÃn para otras escaladas de privilegios. Para mitigarlo, se ha reforzado la gestión de memoria y se han endurecido varios controles que limitan el alcance de este tipo de ataques.
En el caso de iOS 15.8.7, las notas de seguridad señalan una intervención más amplia: además de los problemas en WebKit, se ha parcheado una importante vulnerabilidad de kernel catalogada como CVE-2023-41974, asociada a un patrón de use-after-free. Este bug podÃa permitir que una aplicación maliciosa ejecutara código con privilegios de núcleo, lo que abrÃa la puerta a un control casi total del dispositivo si se encadenaba con otras fallas.
Junto a ella aparecen otras referencias, como CVE-2024-23222, CVE-2023-43000 y CVE-2023-43010, ligadas a errores en WebKit que van desde la confusión de tipos hasta nuevas corrupciones de memoria. Todas comparten un mismo denominador común: permiten la ejecución de código al procesar contenido web manipulado, que es precisamente el vector de entrada que usa el kit Coruna.
No todas las vulnerabilidades que forman parte del arsenal de Coruna han sido descritas públicamente con su correspondiente identificador CVE, ya que una parte de ellas eran fallos sin documentar previamente. Aun asÃ, el conjunto de parches lanzado por Apple apunta directamente a los componentes crÃticos que este kit utilizaba para consolidar el ataque, lo que limita de forma importante su capacidad de maniobra sobre iPhone e iPad actualizados.
De herramienta de espionaje a arma para robar criptomonedas
Los primeros indicios sobre Coruna proceden de investigaciones del Google Threat Intelligence Group (GTIG) y de iVerify, que situaron este kit dentro del contexto de operaciones de nivel nación‑estado. Es decir, no se trata de un malware genérico distribuido a gran escala, sino de una herramienta pensada inicialmente para campañas dirigidas y de alto valor estratégico.
Con el paso de los meses, sin embargo, el panorama ha cambiado. Los datos publicados por iVerify apuntan a que el mismo conjunto de exploits ha empezado a aparecer en ataques con motivación económica, centrados en el robo de activos digitales. En esos escenarios, los operadores de Coruna despliegan webs que simulan plataformas de intercambio, servicios financieros o herramientas de gestión de criptoactivos, con el fin de convencer al usuario para que acceda desde su dispositivo vulnerable.
Una vez la vÃctima entra en el sitio malicioso, se pone en marcha la cadena de explotación: el navegador procesa contenido preparado para aprovechar las brechas de WebKit y, si el sistema no está parcheado, se desencadena el resto de pasos hasta desplegar el implante. Desde ese momento, los atacantes pueden obtener frases semilla BIP39, claves privadas y otra información necesaria para vaciar monederos sin que el propietario detecte actividad extraña de inmediato.
Este tránsito de un uso principalmente ligado al espionaje a un escenario de cibercrimen puramente económico encaja con lo observado en otras amenazas similares. Los exploits que en su dÃa se desarrollan con grandes recursos y alta especialización suelen terminar filtrándose o comercializándose en mercados clandestinos, donde grupos menos sofisticados los reutilizan para campañas más amplias o indiscriminadas.
Por qué Apple continúa parcheando modelos tan antiguos
Puede llamar la atención que dispositivos como el iPhone 6s, el iPhone 7 o los primeros iPad Pro sigan recibiendo actualizaciones de seguridad varios años después de su lanzamiento. Sin embargo, la estrategia de Apple responde a una realidad muy concreta: millones de estos equipos continúan en uso diario en todo el mundo, especialmente en regiones donde el ciclo de renovación es más largo.
En Europa y, en particular, en España, es cada vez más frecuente que los usuarios alarguen la vida útil de sus móviles a cuatro, cinco o más años, ya sea como dispositivo principal o como terminal de respaldo. Además, muchas pymes y entidades públicas reaprovechan iPhone e iPad antiguos como herramientas para tareas especÃficas, desde control de inventario hasta atención al público o autenticación en servicios internos.
Si todos esos dispositivos quedaran sin parches, se convertirÃan en un objetivo perfecto para campañas masivas de espionaje o robo de datos. Desde el punto de vista regulatorio, también hay un componente claro: normativas como el Reglamento General de Protección de Datos (RGPD) empujan a las organizaciones a garantizar un mÃnimo de seguridad en los equipos que tratan información personal, incluso cuando el hardware ya no es de última generación.
En la práctica, esta polÃtica de parches prolongados beneficia tanto a usuarios particulares como a empresas que dependen de antiguos iPhone o iPad para su dÃa a dÃa, ya que evita que se vean obligados a cambiar de dispositivo únicamente por motivos de seguridad, siempre que mantengan las actualizaciones al dÃa y apliquen un mÃnimo de buenas prácticas.
Cómo actualizar tu iPhone o iPad antiguo y minimizar riesgos
El proceso para instalar iOS 15.8.7, iOS 16.7.15 y sus versiones equivalentes de iPadOS no tiene mayor complicación, pero conviene no dejarlo para más adelante. Mientras el dispositivo permanezca sin parchear, sigue expuesto a los vectores que Coruna y otros kits de explotación pueden aprovechar.
El primer paso es asegurarse de que el equipo tiene baterÃa suficiente y una conexión estable. Lo recomendable es disponer de al menos un 50 % de carga (o mantenerlo conectado al cargador) y utilizar una red WiFi fiable, sobre todo si la conexión móvil tiene limitaciones de datos o sufre cortes frecuentes.
Desde ahÃ, basta con entrar en la aplicación de Ajustes, tocar en el apartado General y acceder a Actualización de software. El sistema comprobará si hay versiones disponibles para ese modelo concreto y mostrará, en caso afirmativo, iOS 15.8.7 o iOS 16.7.15 (o las variantes de iPadOS correspondientes) listas para descargar e instalar.
Antes de pulsar en Descargar e instalar, es buena idea verificar que existe una copia de seguridad reciente en iCloud o en un ordenador. Aunque estos procesos suelen completarse sin incidentes, disponer de un respaldo actualizado evita problemas mayores si se produce un corte de luz, una caÃda de la red o cualquier otro imprevisto durante la actualización.
Quienes tengan perfiles especialmente sensibles —por ejemplo, responsables financieros, personal de TI o usuarios que gestionan grandes cantidades de activos digitales— pueden valorar también activar Lockdown Mode en los dispositivos compatibles. Este modo limita algunas funciones, pero añade una capa extra de protección que kits como Coruna tienen más dificultades para sortear.
Todo este despliegue de parches ilustra hasta qué punto la seguridad de los iPhone e iPad antiguos depende de seguir instalando las actualizaciones que van llegando. Aunque no haya cambios visibles en la pantalla, lo que se juega en segundo plano es la capacidad de los atacantes para convertir un simple clic en un enlace en un control casi total del dispositivo. Mantener el sistema al dÃa, especialmente en un entorno como el europeo donde la protección de datos y la banca móvil forman parte del dÃa a dÃa, es una medida sencilla que ayuda a que esos teléfonos y tabletas veteranos sigan siendo aliados y no un punto débil en la cadena.
