El malware puede robar diversos datos, como contraseñas, monederos de criptomonedas, fotos y documentos
Si tienes un iPhone, presta atención: existe un nuevo riesgo de seguridad que los hackers han estado explotando activamente desde al menos noviembre. Si bien es poco probable que seas el objetivo de un ataque de este tipo, tu iPhone es vulnerable, a menos que tomes la siguiente medida (aunque sencilla): actualiza tu iPhone.
¿Qué es DarkSword?
El Grupo de Inteligencia de Amenazas de Google (GTIG) identificó la nueva vulnerabilidad de cadena completa, en colaboración con las empresas de seguridad Lookout e iVerify. Esta vulnerabilidad, denominada "DarkSword", aprovecha seis vulnerabilidades de día cero para comprometer iPhones.
GTIG afirma que, hasta noviembre, observó que "varios proveedores de vigilancia comercial y presuntos agentes patrocinados por estados" utilizaban DarkSword en campañas de malware. Hasta el momento, los objetivos se encuentran en Arabia Saudita, Turquía, Malasia y Ucrania.
Según GTIG, DarkSword puede atacar iPhones con iOS 18.4 a iOS 18.7 (aunque iVerify y Lookout afirman que la vulnerabilidad que probaron termina en iOS 18.6.2). La cadena utiliza tres familias de malware (GHOSTBLADE, GHOSTKNIFE y GHOSTSABER) y es similar a un kit de malware descubierto previamente llamado Coruna. De hecho, Apple publicó recientemente parches para las vulnerabilidades de Coruna en iPhones más antiguos.
DarkSword está diseñado para extraer de forma rápida y sigilosa credenciales e información personal de tu dispositivo, incluyendo contraseñas, claves, documentos, correos electrónicos, monederos de criptomonedas, nombres de usuario, fotos y otros datos. Esto se realiza en segundos o minutos, por lo que DarkSword actúa con rapidez.
El ataque funciona así: navegas por un sitio web en Safari con un iframe malicioso incrustado. Una vez que Safari lo detecta, DarkSword puede eludir el entorno aislado de WebContent, que normalmente impide que los servicios no autorizados se ejecuten en áreas de iOS a las que no deberían acceder. De esta forma, obtiene rápidamente permiso para acceder a procesos privilegiados y accede a partes sensibles de iOS.
Esto es preocupante, ya que el malware solo requiere para funcionar que el usuario visite un sitio web malicioso. No es necesario engañarlo para que descargue un archivo malicioso; basta con hacer clic en el enlace equivocado para que se active.
Así fue como GTIG descubrió inicialmente DarkSword: unos hackers atacaron a usuarios en Arabia Saudita con un sitio web falso de Snapchat llamado "Snapshare", que los redirigía a un sitio legítimo de Snapchat mientras robaba silenciosamente su información en segundo plano. En otro ejemplo, un grupo sospechoso de colaborar con el gobierno ruso atacó a usuarios en Ucrania con versiones maliciosas de sitios web oficiales del gobierno y de noticias ucranianos.
Cómo protegerse de DarkSword
Por suerte, GTIG informó a Apple sobre DarkSword a finales de 2025, y desde entonces, Apple ha corregido completamente las vulnerabilidades. Sin embargo, la compañía no lanzó las correcciones de una sola vez; en cambio, Apple las implementó individualmente a través de varias actualizaciones, publicando las correcciones finales con iOS 26.3 e iOS 18.7.3. Por lo tanto, necesitas tener instaladas al menos esas versiones de iOS 26 o iOS 18 para protegerte de este malware.
Actualizar tu iPhone no es difícil, y es aún más fácil porque Apple no exige actualizar a la versión más reciente (es decir, iOS 26) para solucionar el problema. Sin embargo, existen muchos iPhones en el mundo, y lograr que todos actualicen a la versión correcta no es sencillo.
Según Apple, el 66 % de los iPhones en el mundo usan iOS 26, mientras que el 24 % aún usa iOS 18. Si bien no podemos saber con certeza cuáles de esos iPhones usan iOS 26.3, iOS 18.7.3 o versiones posteriores, es seguro afirmar que muchos usan versiones obsoletas de ambos. Millones de iPhones podrían estar en riesgo.
En mi opinión, ese riesgo es bastante bajo: según los informes actuales, estos ciberdelincuentes atacan a usuarios en áreas limitadas y operan a través de redes sofisticadas, incluidas algunas financiadas por gobiernos. Si no tienes motivos para estar en el punto de mira de una agencia gubernamental, especialmente una que ataque a usuarios en Arabia Saudita, Turquía, Malasia y Ucrania, es poco probable que seas víctima de DarkSword.
Aun así, ¿Por qué correr el riesgo, por pequeño que sea? Si DarkSword continúa propagándose, es posible que sus efectos también lo hagan. Cuando la solución es tan simple como actualizar tu iPhone, ¿Qué daño puede haber?
