Se ha revelado que una herramienta de ataque utilizada en una operación de piratería a gran escala dirigida a usuarios de iPhone en Ucrania y China probablemente proviene de un proyecto interno del contratista militar estadounidense L3Harris. La herramienta fue originalmente diseñada para agencias de inteligencia occidentales, pero eventualmente cayó en manos de agencias de inteligencia rusas y grupos cibercriminales chinos, lo que generó una mayor preocupación sobre el riesgo de fuga de armas cibernéticas militares-industriales.

Google reveló la semana pasada que había descubierto un sofisticado conjunto de herramientas de ataque al iPhone utilizado en múltiples rondas de ataques globales en 2025. El conjunto de herramientas, llamado "Coruña" por sus desarrolladores originales, consta de 23 componentes diferentes y fue utilizado primero por un cliente gubernamental anónimo en "operaciones altamente específicas", luego por espías respaldados por el gobierno ruso contra un pequeño número de objetivos ucranianos y, finalmente, por ciberdelincuentes chinos en una operación a gran escala para robar fondos y criptomonedas. Un análisis independiente realizado por la empresa de seguridad móvil iVerify determinó que la herramienta probablemente fue desarrollada originalmente por una empresa que vende productos al gobierno de Estados Unidos.

Dos ex empleados que trabajaron en Trenchant, el brazo tecnológico de piratería y vigilancia de L3Harris, confirmaron a los medios que al menos algunos componentes de Coruña fueron desarrollados por Trenchant, y que ambos tuvieron contacto directo con las herramientas de ataque al iPhone desarrolladas por la empresa. Las dos personas, que solicitaron el anonimato, dijeron que "Coruña es de hecho el nombre en clave de un componente interno" y afirmaron que los detalles técnicos revelados por Google eran "muy familiares". Uno de los ex empleados dijo que Coruña era uno de varios componentes y exploits incluidos en el conjunto de herramientas general de Trenchant.

La información pública muestra que L3Harris vende herramientas de piratería y vigilancia a través de Trenchant al gobierno de Estados Unidos y sus aliados "Five Eyes", con clientes limitados a agencias de inteligencia en Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda. Bajo la premisa de que los clientes están muy restringidos, lo más probable es que Coruña haya sido comprado y utilizado primero por la agencia de inteligencia de uno de los países, y luego se filtró de alguna manera y entró en manos de otros actores. No está claro exactamente cuánto código en el conjunto de herramientas de Coruña expuesto proviene directamente de L3Harris Trenchant.

La trayectoria de proliferación transnacional de La Coruña es muy similar al caso del ex director general de Trenchant, Peter Williams, que filtró armas cibernéticas. Según registros públicos, entre 2022 y mediados de 2025, Williams vendió ocho herramientas de ataque Trenchant a la empresa rusa Operation Zero, ganando aproximadamente 1,3 millones de dólares. El gobierno de Estados Unidos lo acusó de utilizar "acceso total" a la intranet de Trenchant para robar herramientas que podrían atacar "millones de computadoras y dispositivos en todo el mundo", y fue considerado una "traición" a Estados Unidos y sus aliados. Williams fue sentenciado a siete años de prisión en febrero y la Operación Cero fue sancionada por el Departamento del Tesoro de Estados Unidos.

El Departamento del Tesoro de Estados Unidos reveló que la Operación Cero afirmaba trabajar sólo con el gobierno ruso y empresas nacionales, pero los funcionarios determinaron que vendió las herramientas robadas por Williams a al menos "un usuario no autorizado". La investigación de Google reveló que la organización de espionaje rusa UNC6353 obtuvo Coruña a través de canales desconocidos y lo implantó en sitios web ucranianos comprometidos para apuntar a usuarios de ubicaciones geográficas específicas que usan iPhones para acceder a estos sitios web. Algunos analistas creen que después de que Operation Zero las revenda a funcionarios rusos, es posible que continúe revendiendo las herramientas a otros intermediarios, países o incluso directamente a grupos de ciberdelincuentes. La acusación estadounidense también mencionó que miembros de la banda de ransomware Trickbot colaboraron con Operation Zero, vinculando al corredor con una red de piratas informáticos que buscaban ganancias financieras.

Según los fiscales estadounidenses, Williams reconoció el código que escribió y vendió a Operación Cero, que luego apareció en manos de un intermediario surcoreano. Esto también proporciona una posible ruta de cómo Coruña terminó llegando a los piratas informáticos chinos: en múltiples rondas de reventa y reutilización de códigos, la herramienta se extendió gradualmente desde el círculo de inteligencia del gobierno al ecosistema de piratas informáticos más amplio.

Los investigadores de Google señalaron que dos componentes de exploit específicos en La Coruña, llamados "Photon" y "Gallium", se utilizaron como armas de vulnerabilidad de día cero en una sofisticada operación de ataque llamada "Operación Triangulación" ("Operación Triángulo"), que se cree que está dirigida a usuarios de iPhone en Rusia. Kaspersky Lab reveló por primera vez la Operación Triángulo en 2023. El cofundador de iVerify, Rocky Cole, dijo que, según la información pública actual, la "explicación más razonable" es que el desarrollador y cliente original de Coruña son Trenchant y el gobierno de EE. UU., respectivamente, pero enfatizó que este juicio aún no es "absolutamente concluyente".

El juicio de Cole se basa en tres puntos: primero, la línea de tiempo del uso de Coruña se superpone en gran medida con el caso de filtración de Williams; en segundo lugar, la estructura de los tres módulos principales de La Coruña, "Plasma", "Fotón" y "Galio", es muy similar a los módulos observados en la "Operación Triángulo"; En tercer lugar, Coruña reutiliza algunos códigos de ataque que se han utilizado en esa operación. También reveló que información de "personas cercanas a la comunidad de defensa" afirmaba que el módulo "Plasma" también había sido utilizado en la "Operación Triángulo", pero actualmente no hay evidencia pública que respalde esto. El propio Cole trabajó una vez para la Agencia de Seguridad Nacional (NSA).

El análisis técnico realizado por Google e iVerify muestra que Coruña está diseñado para atacar iPhones con iOS 13 a iOS 17.2.1, cubriendo una serie de versiones del sistema lanzadas desde septiembre de 2019 hasta diciembre de 2023. Este lapso de tiempo también coincide con la línea de tiempo de las herramientas filtradas de Williams y el descubrimiento de la Operación Triángulo. Un ex empleado de Trenchant recordó que cuando Kaspersky reveló por primera vez la "Operación Triángulo" en 2023, muchas personas dentro de la empresa creyeron que al menos una de las vulnerabilidades de día cero capturadas "venía de nosotros" y podría haber sido "eliminada" del proyecto general que incluía a Coruña y puesta en uso.

El investigador de seguridad Costin Raiu también señaló en las plataformas sociales que muchos componentes de la herramienta Coruña llevan nombres de aves, como Casuario, Terrorbird, Bluebird, Jacurutu, Sparrow, etc., lo que está implícitamente relacionado con la herencia técnica de Trenchant. Ya en 2021, el Washington Post informó que Azimuth, una empresa de seguridad que luego fue adquirida por L3Harris y fusionada con Trenchant, vendió al FBI una herramienta para descifrar iPhone llamada Condor, que se utilizó para desbloquear el iPhone en el famoso tiroteo de San Bernardino.

Después de que la "Operación Triángulo" fuera expuesta, el Servicio Federal de Seguridad (FSB) de Rusia acusó a la Agencia de Seguridad Nacional de Estados Unidos de utilizar la herramienta para piratear "miles de iPhones" en Rusia, centrándose en objetivos como diplomáticos. Kaspersky dijo en ese momento que no estaba al tanto de los detalles de las acusaciones del FSB, pero señaló que los "indicadores de compromiso" revelados por el Centro Nacional de Coordinación de Incidentes Cibernéticos (NCCCI) de Rusia eran consistentes con la evidencia que Kaspersky había identificado previamente. Sin embargo, el investigador de seguridad de Kaspersky, Boris Larin, dijo que incluso después de una extensa investigación, la "Operación Triángulo" todavía no puede atribuirse a ningún grupo conocido de amenazas persistentes avanzadas (APT) ni a ninguna empresa de desarrollo de vulnerabilidades.

Larin explicó que la razón por la que Google asoció a Coruña con la Operación Triángulo fue porque ambas explotaban las mismas vulnerabilidades, Photon y Gallium. Sin embargo, compartir la vulnerabilidad por sí solo no es suficiente para completar la atribución, porque los detalles de estas dos vulnerabilidades han sido públicos durante mucho tiempo y cualquiera de las partes puede desarrollar su propia cadena de ataque basada en esto. Destacó que estas dos vulnerabilidades comunes son "sólo la punta del iceberg". Cabe mencionar que aunque Kaspersky nunca ha acusado públicamente al gobierno estadounidense de estar detrás de la Operación Triángulo, el logo de Apple compuesto por múltiples triángulos diseñados por la compañía para esta operación es visualmente similar al logo de la marca L3Harris. Algunas personas creen que se trata de una técnica de "pista visual" utilizada habitualmente por Kaspersky.

Las prácticas pasadas de Kaspersky parecen confirmar esta especulación. En 2014, la compañía reveló un grupo de piratas informáticos gubernamentales de alto nivel llamado "Careto" (que significa "Máscara"). Solo mencionaba que los atacantes hablaban en español, pero la ilustración de la máscara utilizada en el informe añadía los colores rojo y amarillo de la bandera española, astas de toro, narigueras, castañuelas y otros elementos, lo que se consideró que daba a entender que los atacantes estaban relacionados con el gobierno español. Como informes posteriores citaron a expertos de Kaspersky, el equipo de investigación creía en privado que no había "ninguna duda" de que Careto era una operación dirigida por el gobierno español.

La controversia en torno a La Coruña también ha provocado un seguimiento continuo de los medios. El reportero de ciberseguridad Patrick Gray dijo en el podcast "Risky Business" de esta semana que Williams vendió la Operación Cero exactamente el mismo marco de ataque utilizado en la "Operación Triángulo" basado en "inteligencia fragmentaria" que tenía y en la que confiaba. Actualmente, Apple, Google, Kaspersky y Operation Zero no han respondido públicamente a este tema.