Apple ha comenzado a mostrar notificaciones críticas a pantalla completa en la pantalla de bloqueo de iPhone y iPad con versiones antiguas de iOS y iPadOS, advirtiendo de ataques reales en curso contra dispositivos desactualizados. El mensaje insta a instalar de inmediato una actualización de seguridad, subrayando que la compañía tiene constancia de campañas activas que explotan vulnerabilidades a través de contenido web.
Apple muestra avisos urgentes en iOS: por qué ahora y a quién afecta
En los dispositivos con versiones no soportadas o que llevan mucho tiempo sin actualizarse, aparece un aviso del tipo: «A Apple le consta la existencia de ataques dirigidos contra software iOS obsoleto, incluida la versión de tu iPhone. Instala esta actualización crítica para proteger tu dispositivo». Que este aviso se muestre sobre la pantalla de bloqueo indica la prioridad excepcional que Apple otorga a este problema de seguridad.
Días antes de desplegar estas alertas, Apple publicó un documento de soporte recomendando a los usuarios de versiones antiguas de iOS y iPadOS actualizar lo antes posible. El detonante: la detección y análisis de nuevos exploit kits para iOS, denominados Coruna y DarkSword, usados en ataques reales a través de sitios web maliciosos o comprometidos.
Coruna y DarkSword: exploit kits para hackear iPhone desde el navegador
Un exploit kit es un conjunto de exploits empaquetados que permite a un atacante comprometer automáticamente un dispositivo tan solo con que la víctima visite una página web controlada o previamente hackeada. El usuario no tiene que hacer nada más: abrir el sitio en el navegador desencadena toda la cadena de explotación.
Según los análisis disponibles, Coruna apunta a un rango amplio de versiones de iOS, aproximadamente desde la 13.0 hasta la 17.2.1. Por su parte, DarkSword se ha diseñado para explotar vulnerabilidades en versiones más recientes, descritas como comprendidas entre iOS 18.4 y 18.7. Durante el último año, estos kits se han observado en manos tanto de ciberdelincuentes «clásicos» como de actores más avanzados, con el objetivo de entregar descargadores maliciosos y spyware directamente desde el navegador.
Coruna y Operation Triangulation: continuidad de un marco avanzado de espionaje
Investigadores de Kaspersky vinculan Coruna con la operación de espionaje Operation Triangulation, revelada en 2023. En aquella campaña, los atacantes utilizaron complejos zero-click exploits contra iMessage que permitían comprometer iPhone sin que el usuario realizara ninguna acción.
De acuerdo con estos análisis, Coruna no es una colección aleatoria de exploits públicos, sino la evolución coherente de un framework de explotación sofisticado iniciado en Operation Triangulation. El mantenimiento continuado, las mejoras y la calidad técnica apuntan a un actor con recursos y capacidades equiparables a los de estructuras estatales o empresas de vigilancia comercial de alto nivel.
Mercado de zero-days y «democratización» de los ataques a iOS
Todavía no está claro cómo Coruna y DarkSword han terminado en manos de varias agrupaciones distintas. Diversas investigaciones sobre el ecosistema de vulnerabilidades apuntan a la existencia de un mercado secundario de exploits zero-day y one-day, donde vulnerabilidades inicialmente desarrolladas para servicios de inteligencia o compañías de spyware terminan, con el tiempo, revendidas, filtradas o reutilizadas por otros actores.
Esta circulación de exploit kits avanzados implica una «democratización» de las capacidades ofensivas contra iOS: herramientas que antes estaban casi exclusivamente en manos de estados pasan a estar disponibles para más grupos criminales. El resultado es un aumento del riesgo de ataques masivos contra iPhone y iPad, y la consolidación del móvil como uno de los objetivos más valiosos y vulnerables en cualquier organización.
Cómo proteger iPhone y iPad: actualizaciones, Lockdown Mode y buenas prácticas
El primer y principal mecanismo de defensa frente a Coruna, DarkSword y futuros exploits es instalar de inmediato las últimas actualizaciones de iOS o iPadOS. Mantener el dispositivo en una versión antigua equivale, en la práctica, a aceptar un riesgo elevado de compromiso, especialmente cuando existen campañas activas conocidas por el propio fabricante.
Para quienes no puedan actualizar a la versión más reciente por limitaciones de hardware, Apple recomienda activar, siempre que el sistema lo permita, el Lockdown Mode (Modo Aislamiento), disponible desde iOS 16. Este modo reduce de forma drástica la superficie de ataque: restringe funcionalidades del navegador, bloquea ciertos tipos de adjuntos y enlaces y deshabilita características frecuentemente usadas en campañas avanzadas de espionaje. Apple ha indicado que no tiene constancia de infecciones exitosas de spyware en dispositivos con Lockdown Mode activado, lo que lo convierte en una capa de protección clave para periodistas, activistas, personal de infraestructuras críticas y usuarios en entornos de alto riesgo.
Además, es recomendable habilitar la instalación automática de actualizaciones, evitar perfiles de configuración de origen desconocido, no hacer jailbreak y, en el ámbito corporativo, gestionar los dispositivos mediante soluciones MDM para aplicar parches de seguridad de forma centralizada. Cuanto mejor se apliquen estas medidas básicas de ciberhigiene, más difícil será para los atacantes convertir nuevas vulnerabilidades de iOS en armas de uso masivo.
Las alertas urgentes de Apple y la aparición de Coruna y DarkSword refuerzan un mensaje claro: incluso un ecosistema tradicionalmente percibido como más seguro, como el de iPhone y iPad, es hoy objetivo prioritario de ataques avanzados. Verificar la versión de iOS, actualizar sin demora y, si se está en un perfil de riesgo elevado, considerar el uso de Lockdown Mode son pasos inmediatos que cualquier usuario y organización puede dar ya mismo para reforzar su seguridad móvil.
