Apple es cada vez más popular entre los ciberdelincuentes: las vulnerabilidades en iOS aumentan

Apple siempre ha sido uno de los ecosistemas más seguros, un elemento también en parte favorecido por la amplia adopción de Android entre prácticamente la mayoría de los fabricantes de móviles.

Pero desde hace un par de años todo parece haber cambiado, con exploits que los ciberdelincuentes han creado para vulnerar dispositivos móviles de Apple, como son sus iPhone o iPad.

Uno de estos últimos kits de explotación de vulnerabilidades de día cero ha sido Coruna, investigada por el equipo de inteligencia de Google y otras compañías especializadas en ciberseguridad.

Este exploit se centra en los iPhone de Apple que cuentan con la versión iOS 13.0, que fue lanzada en septiembre de 2019, por lo que los expertos recomiendan actualizar inmediatamente para no ser víctimas silenciosas de los ciberdelincuentes.

Lo que hace de este exploit el más peligroso del ecosistema de Apple es que mantiene una colección completa de este tipo de ataques, consiguiendo omitir numerosas técnicas de mitigación.

Aunque no es el único kit de explotación que ha aparecido en el ecosistema de Apple, que parece ser un objetivo cada vez más jugoso para los ciberdelincuentes.

Apple, en el punto de mira de China y Rusia

Como ya ha evidenciado el equipo de inteligencia de Google, el exploit Coruna se pudo observar el año pasado con origen en el grupo UNC6353, presuntamente asociado a Rusia y con varios ataques contra Ucrania.

Más adelante, el grupo UNC6691, un actor de amenazas persistentes que opera desde China, logró lanzar una campaña masiva con este exploit, aunque se desconoce concretamente cómo alcanzó a tantos dispositivos.

La hipótesis más plausible es que este tipo de ataques se centran en el mercado de segunda mano, precisamente en el que aparecen más exploits de día cero, aquellos que nunca antes han identificado los equipos especializados en ciberseguridad.

Más allá de estas derivaciones de ataques que comenzaron en Ucrania como campo de pruebas para tumbar diferentes webs oficiales, a Apple le continúan creciendo los enanos.

Así, durante los últimos meses también ha aparecido DarkSword, un exploit crítico que puede afectar al editor de enlaces dinámicos de Apple, saltándose la conocida como protección PAC –Pointer Authentication Codes–, presente en los chips propios de la compañía.

Dentro de este kit, también aparecen otras vulnerabilidades críticas, como los fallos de corrupción de memoria en los motores de Safari y el WebKit de Apple, un punto de entrada para infectar un iPad o iPhone simplemente al cargar una página.

O lo que es lo mismo, un conocido como zero-click, que infecta el dispositivo sin que el usuario tenga que interactuar siquiera, con el riesgo evidente que esto conlleva para la seguridad consciente para cualquier usuario, incluso los más avanzados en ciberseguridad.

Vulnerabilidades de día cero, la kriptonita de Apple

Aunque la superficie y la idiosincrasia de Android permite que los atacantes sean capaces de conseguir exploits mucho más afinados, Apple se ha enfrentado desde el año pasado a numerosas vulnerabilidades de este tipo.

Estas son aquellas que los atacantes aprovechan sin que el fabricante o el usuario lo sepa, logrando comprometer el dispositivo hasta que la propia Apple saque un parche o publique una actualización del sistema operativo.

En conjunto, la compañía de Cupertino tuvo que hacer frente en 2025 a 9 vulnerabilidades de día cero, las cuales aprovecharon los ciberdelincuentes para infectar dispositivos con iOS, sin cifras exactas concretadas por Apple.

Tal y como asegura el mismo equipo de inteligencia de Google, este crecimiento se debe a un extenso mercado de segunda mano en el que múltiples actores consiguen adquirir técnicas ya explotadas y reutilizarlas.

Con ello, los ataques tienen un coste más bajo y, por supuesto, requieren de técnicas menos complejas, ya que solo habría que modificar el exploit para adaptarlo a las nuevas actualizaciones.

De momento, Apple ha parcheado todas estas vulnerabilidades, aunque son una prueba evidente de que su ecosistema es la diana perfecta para numerosos grupos de ciberdelincuentes debido a su incremento de popularidad.