La vulnerabilidad DarkSword se ha convertido en uno de los fallos de seguridad más delicados descubiertos recientemente en iPhone. Se trata de una cadena de exploits para iOS capaz de tomar el control del móvil con solo cargar una página web manipulada, sin que el usuario toque nada ni vea un aviso en pantalla.
Este kit de ataque, analizado por equipos de seguridad de Google, iVerify y Lookout, afecta principalmente a los iPhone que siguen usando iOS 18 en versiones comprendidas aproximadamente entre la 18.4 y la 18.7. El riesgo no es teórico: hay campañas activas, se ha vinculado a grupos de vigilancia comercial y a actores con posible apoyo estatal, y pone en el punto de mira tanto a usuarios particulares como a personas con perfiles de alto valor, incluidos quienes manejan criptomonedas desde el móvil.
Qué es DarkSword y cómo explota iOS
DarkSword es un exploit de tipo cero clic orientado a iOS, es decir, un conjunto de vulnerabilidades que permite comprometer el dispositivo sin que el usuario tenga que pulsar en enlaces, descargar archivos o conceder permisos de forma explícita. Basta con visitar una web comprometida en Safari o a través del navegador integrado en otra app para que la cadena de ataque se dispare de manera transparente.
Según el informe técnico hecho público por el equipo de amenazas de Google (GTIG) junto a iVerify y Lookout, la cadena de DarkSword encadena al menos seis fallos de seguridad distintos, como recogen los análisis sobre fallos críticos en macOS e iOS, hasta conseguir ejecutar código con privilegios de kernel. Ese nivel de acceso es especialmente crítico, porque otorga al atacante un control muy profundo sobre el sistema, por encima incluso de muchas aplicaciones de seguridad.
Los investigadores han explicado que el exploit se ha diseñado para dispositivos con iOS 18 en versiones como la 18.4, 18.6.2 o 18.7, un rango que en su momento cubría cientos de millones de teléfonos. Aunque Apple ha ido corrigiendo las brechas en sucesivas actualizaciones, una parte significativa del parque de iPhones siguió anclada a iOS 18 durante meses, lo que abría una ventana de oportunidad muy amplia para los atacantes. En particular, muchas de las correcciones llegaron en parches relacionados con iOS 18.6 que mitigaron varias de las vulnerabilidades explotadas.
Lo más inquietante de la investigación es que DarkSword no se esconde tras ingeniería social sofisticada: el usuario puede estar leyendo una noticia en una web legítima, o consultando un portal oficial, y que el ataque se ejecute en segundo plano si ese sitio ha sido comprometido.
Campañas detectadas y objetivos: de Ucrania al ecosistema cripto
Los primeros indicios sólidos de DarkSword aparecieron en webs legítimas de Ucrania, donde los investigadores de Google localizaron código malicioso incrustado en decenas de sitios, entre ellos medios de comunicación y páginas de organismos públicos. Desde allí, la campaña se extendió a otros escenarios geopolíticamente sensibles.
GTIG e iVerify han atribuido el uso de este kit a múltiples actores distintos, incluidos proveedores de vigilancia comercial y grupos presuntamente vinculados a servicios de inteligencia. Entre los países en los que se han observado operaciones figuran Arabia Saudí, Turquía, Malasia y Ucrania, lo que deja claro que no se trataba de un experimento aislado, sino de una campaña sostenida en el tiempo.
Uno de los elementos que más ha preocupado al sector financiero digital es que el ecosistema de las criptomonedas se ha convertido en un objetivo explícito. Binance, uno de los exchanges más grandes del mundo, lanzó una alerta específica para usuarios de iPhone y iPad tras conocerse los detalles de DarkSword, recordando que el problema no reside en una wallet o plataforma concreta, sino en la propia capa del sistema operativo.
En los análisis publicados se menciona la familia de malware asociada conocida como GHOSTBLADE, que se apoya en las brechas explotadas por DarkSword para desplegar implantes capaces de recolectar datos relevantes para el robo de criptoactivos. Entre ellos, los investigadores enumeran llaveros del sistema, archivos en iCloud Drive, historiales de ubicación, contraseñas de redes WiFi y, de forma señalada, información vinculada a carteras de criptomonedas y cuentas de servicios financieros.
Qué datos puede robar y por qué es tan difícil de detectar
Una vez que la cadena de exploits se ejecuta con éxito, el atacante obtiene acceso a una cantidad de información enorme. Los informes de Lookout y Google señalan que DarkSword está preparado para extraer prácticamente todo lo que hace valioso un iPhone para el usuario: contraseñas, fotos, contactos, historiales de iMessage, WhatsApp y Telegram, notas, calendarios, registros de la app Salud, historiales de navegación y datos de cuentas almacenados en el llavero.
En el terreno económico, la herramienta se enfoca en credenciales de monederos de criptomonedas y datos relacionados con servicios de intercambio. Este punto explica buena parte del interés de grupos criminales puramente económicos, que reutilizan tecnologías de nivel gubernamental para montar campañas de robo masivo de fondos, muchas veces combinadas con webs de criptomonedas fraudulentas.
En lugar de instalar una aplicación espía visible o un spyware persistente tradicional, DarkSword aplica técnicas «fileless» o sin archivos, más típicas del malware avanzado en ordenadores. Esto significa que secuestra procesos legítimos del sistema y opera en memoria, actuando durante los primeros minutos después de la infección para recopilar y exfiltrar datos sin dejar apenas rastros evidentes.
Al adoptar este enfoque, la infección puede desaparecer tras reiniciar el iPhone, mientras que los datos ya habrán sido copiados. Para el usuario y para muchas herramientas de seguridad, el incidente pasa desapercibido, y lo único que queda es un rastro mínimo en los registros internos, que en algunos casos el propio malware intenta borrar de forma explícita para entorpecer el análisis forense.
Advertencias oficiales y respuesta de Apple
Tras la publicación del informe conjunto de Google, iVerify y Lookout, fabricantes y plataformas comenzaron a emitir avisos coordinados a los usuarios de iOS. Binance difundió una alerta en la que hablaba de «explotación crítica» y pedía actualizar de inmediato, subrayando que cualquier dispositivo que hubiese pasado por iOS 18.4 a 18.7 debía considerarse en riesgo si no se había mantenido al día.
Pocos días después, Apple publicó una nota de soporte en la que reconocía ataques basados en contenido web malicioso dirigidos a versiones desactualizadas del sistema. En ese comunicado, la compañía insistía en que mantener el software a la última versión es la medida de protección más importante para el usuario medio, y recordaba que las versiones actuales de iOS ya incluyen las correcciones necesarias. Más información sobre las novedades y parches de iOS 26.3 amplía estos detalles.
De acuerdo con la información aportada por Google, todas las vulnerabilidades asociadas a DarkSword quedaron cerradas con iOS 26.3, aunque varias de ellas se habían parcheado parcial o totalmente en revisiones anteriores. Apple menciona asimismo iOS 26.3.1 como actualización reciente con mejoras adicionales de seguridad, disponible para los modelos compatibles.
Además de los parches, la compañía remarca que el Modo de Bloqueo (Lockdown Mode), introducido para proteger a usuarios de alto riesgo, ayuda a mitigar ataques de este tipo al endurecer la forma en la que el sistema trata el contenido recibido por Internet. Aun así, Apple insiste en que la primera barrera es actualizar cuanto antes a la edición más nueva del sistema operativo.
Cuántos iPhones siguen siendo vulnerables y quién está más expuesto
Uno de los elementos más llamativos del caso DarkSword es el tamaño de la base instalada afectada. Estimaciones de iVerify, Lookout y datos de uso citados por medios especializados apuntan a que, en el momento álgido de la campaña, entre 220 y 270 millones de iPhones seguían en versiones vulnerables de iOS 18. En porcentaje, eso supone entre un 14 % y en torno a una cuarta parte de todos los iPhone activos, según las distintas fuentes.
Ese desfase se explica, en parte, por la reticencia de muchos usuarios a dar el salto a iOS 26, ya sea por costumbre, por miedo a cambios en la interfaz o por problemas de rendimiento percibidos en modelos más antiguos. En Europa y en España, donde la adopción de actualizaciones suele ser superior a la media global pero con grandes diferencias por franja de edad y tipo de usuario, esto deja todavía a millones de dispositivos con una capa de protección insuficiente.
Los perfiles más sensibles son aquellos que manejan información crítica desde el teléfono: periodistas, activistas, cargos públicos, directivos, profesionales que viajan con frecuencia a países con alto nivel de vigilancia y, por supuesto, personas que gestionan cantidades relevantes de criptomonedas o activos financieros desde apps móviles.
Aun así, la investigación sugiere que la escala de las campañas hace que ya no estemos ante ataques selectivos de francotirador, sino ante escenarios mucho más amplios en los que se dispara contra grandes grupos de usuarios aprovechando brechas de seguridad muy potentes pero relativamente fáciles de reutilizar una vez filtradas.
Recomendaciones prácticas para usuarios de iPhone en España y Europa
El mensaje principal de los equipos de seguridad y del propio fabricante es directo: si tu iPhone ha estado en iOS 18 y aún no se ha actualizado a la rama 26, lo prudente es revisar la versión actual y actualizar a iOS 26 y aplicar los parches disponibles cuanto antes. El proceso se realiza desde Ajustes > General > Actualización de software, y en la mayoría de los casos es cuestión de minutos.
Para quienes tengan dispositivos que no soportan iOS 26, Apple ha lanzado parches de seguridad específicos para versiones anteriores, de forma que al menos las vulnerabilidades más graves asociadas a DarkSword queden mitigadas. No ofrecen el mismo nivel de protección que la versión más moderna, pero reducen significativamente la superficie de ataque. Consulta los parches de seguridad específicos publicados por Apple.
En entornos europeos donde el uso del móvil para banca online y pagos digitales está muy extendido, conviene aplicar además medidas complementarias: activar el Modo de Bloqueo si se maneja información especialmente delicada, limitar el número de apps con acceso a datos sensibles, evitar navegar a webs desconocidas desde enlaces recibidos por mensajería y, si se utilizan wallets de criptomonedas, considerar el uso de monederos hardware desconectados del teléfono para guardar grandes cantidades.
Herramientas especializadas como iVerify o soluciones de seguridad móvil para empresas pueden ayudar a detectar signos de compromiso, aunque en el caso concreto de DarkSword la detección es compleja por su naturaleza efímera y por las técnicas de borrado de rastros. Para usuarios particulares, mantenerse al tanto de los avisos oficiales de Apple y de organismos europeos de ciberseguridad es un buen complemento.
Con todo, el caso DarkSword deja una lección clara para el ecosistema de iPhone: las armas digitales de nivel gubernamental ya no se quedan siempre en manos de unos pocos servicios de inteligencia, sino que pueden terminar en campañas amplias que afectan a millones de personas corrientes, muchas veces sin que estas lleguen a saberlo. La diferencia entre ser un blanco fácil o un objetivo mucho más complicado suele reducirse a algo tan poco glamuroso como mantener el sistema operativo actualizado, reforzar la configuración de seguridad y desconfiar de la idea de que “en el iPhone estas cosas no pasan”.
