Desempolva tu viejo iPhone y actualízalo: si no, hackers chinos podrían hacerse con él.
Ciberdelincuentes usan WebKit para vaciar billeteras de criptomonedas.
Los iPhone y iPad antiguos volvieron a estar en el centro de atención de los ciberdelincuentes. Apple lanzó actualizaciones de seguridad para dispositivos que ya no reciben nuevas versiones de iOS, para cerrar vulnerabilidades que se utilizaron en operaciones de espionaje y en ataques de robo de criptomonedas. En los ataques se empleó el conjunto de exploits Coruna.
Apple informó que las correcciones solucionan varios problemas de seguridad en iOS y iPadOS que permitían a los atacantes ejecutar código malicioso en los dispositivos o elevar privilegios hasta el nivel del núcleo del sistema. Parte de los errores ya se corrigieron en actualizaciones para modelos más recientes desde septiembre de 2023. Ahora la compañía trasladó las correcciones a dispositivos que no pueden actualizarse a las versiones actuales del sistema.
Se trata de varias vulnerabilidades relacionadas con componentes del núcleo y el motor WebKit. Entre ellas CVE-2023-41974: un error de use-after-free en el núcleo que se cerró mediante una mejor gestión de la memoria. La vulnerabilidad CVE-2024-23222 en WebKit se debía a una confusión de tipos. Otras dos fallas en WebKit, CVE-2023-43000 y CVE-2023-43010, también permitían a los atacantes aprovechar errores de manejo de memoria.
Las actualizaciones están destinadas a una gran cantidad de dispositivos antiguos. Recibieron correcciones el iPhone 6s, iPhone 7, iPhone SE de primera generación, iPhone 8, iPhone 8 Plus y iPhone X. La lista también incluye el iPad Air 2, el iPad mini de cuarta generación, el iPod touch de séptima generación, el iPad de quinta generación y las primeras versiones del iPad Pro con pantallas de 9,7 y 12,9 pulgadas. Los dispositivos reciben actualizaciones iOS 15.8.7 o 16.7.15 y versiones equivalentes de iPadOS.
El conjunto de exploits Coruna es utilizado activamente por varios grupos de atacantes al menos desde febrero de 2025. Especialistas del grupo Google Threat Intelligence Group vincularon los ataques con varios actores, incluidos el presunto grupo ruso vinculado al estado UNC6353, el cliente de una empresa dedicada a sistemas de vigilancia, y el grupo chino con motivación financiera UNC6691.
El grupo UNC6691 utilizó Coruna en sitios falsos de apuestas y en servicios de criptomonedas. Esas páginas infectaban los dispositivos con software malicioso que robaba las carteras de criptomonedas de los usuarios.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. añadió tres vulnerabilidades utilizadas en Coruna al catálogo de fallas de seguridad explotadas activamente. Entre ellas se encontraba el problema de WebKit identificado como CVE-2023-43010, corregido por Apple en la nueva actualización.
Se ordenó a las agencias civiles federales de EE. UU. instalar las actualizaciones en dispositivos con iOS antes del 26 de marzo. La exigencia se emitió en el marco de la directiva Binding Operational Directive 22-01, que regula los plazos para corregir vulnerabilidades críticas.
Desde principios de año Apple también corrigió otra vulnerabilidad de día cero con identificador CVE-2026-20700. El fallo permitía ejecutar código arbitrario en dispositivos comprometidos y se utilizó en un "ataque extremadamente sofisticado" dirigido a personas concretas. El departamento Google Threat Analysis Group informó a la compañía sobre el problema. Apple no reveló detalles sobre la explotación de la vulnerabilidad.