Apple ha comenzado a desplegar un parche de seguridad clave en iOS 18.7.7 e iPadOS 18.7.7 para frenar DarkSword, un conjunto de herramientas de ataque que se aprovecha de fallos en el sistema para tomar el control de iPhone y iPad con solo cargar una página web. La compañía amplía así la cobertura a millones de dispositivos que seguían en versiones de iOS 18 vulnerables, incluidos muchos en Europa y España.
El movimiento llega después de que el código de DarkSword se filtrase públicamente en Internet, lo que ha disparado la preocupación entre investigadores y fabricantes. Lo que empezó como una campaña dirigida contra ciertos países se ha convertido en un riesgo potencial para cualquier usuario que mantenga su móvil o tableta sin actualizar.
Qué es DarkSword y por qué es tan delicado
DarkSword es un exploit kit orientado a iPhone y iPad que encadena varias vulnerabilidades de día cero en iOS 18.4 a iOS 18.7. A diferencia de otros ataques más clásicos, no requiere instalar aplicaciones raras ni pulsar en múltiples ventanas: basta con visitar una web que aloje el código malicioso.
Los ataques utilizan la técnica conocida como watering hole: los atacantes infectan páginas creadas por ellos o sitios legítimos previamente comprometidos, de modo que el propio navegador se convierte en la puerta de entrada. El usuario solo ve que la página carga, pero en segundo plano se puede estar ejecutando toda la cadena de explotación.
Una vez que la intrusión tiene éxito, DarkSword es capaz de extraer un volumen considerable de información privada. Entre los datos mencionados por las investigaciones están los mensajes, el historial de navegación, la localización del dispositivo e incluso credenciales y contenidos vinculados a aplicaciones de criptomonedas y servicios financieros.
Este enfoque rápido de «ataque y fuga», en el que el sistema se compromete, se exfiltran datos en cuestión de segundos y luego se eliminan rastros, complica la detección y el análisis forense en los dispositivos afectados. El usuario puede no notar nada raro en el día a día, aunque su información ya haya salido del terminal.
Según distintas fuentes técnicas, DarkSword comparte actor y enfoque con otras cadenas de exploits como Coruna, orientada a versiones anteriores de iOS (13 a 17.2.1). En ambos casos se parte de vulnerabilidades en WebKit, el motor del navegador de Apple, y a partir de ahí se escala el ataque al resto del sistema.
Cómo explota DarkSword las versiones vulnerables de iOS 18
Los análisis publicados apuntan a que DarkSword aprovecha hasta media docena de fallos graves en iOS 18.4, 18.5, 18.6 y 18.7. El primer paso suele ser un exploit en el navegador que permite ejecutar código arbitrario al cargar una página comprometida.
A partir de ese punto, la cadena de ataque escala privilegios dentro del sistema operativo hasta poder acceder a procesos y datos que, en circunstancias normales, estarían aislados. De este modo, el atacante puede leer contenidos privados, acceder a bases de datos internas de aplicaciones o extraer ficheros de configuración.
Los datos robados se envían de forma automatizada a servidores controlados por los operadores de DarkSword. El paquete de información puede incluir desde conversaciones personales hasta patrones de localización, algo especialmente sensible si el dispositivo se usa para trabajo, banca online o autenticación en servicios empresariales.
En el ámbito de las criptomonedas, el impacto potencial es mayor: muchas apps de monedero, exchanges y gestores de claves se utilizan directamente desde el iPhone o el iPad. Si un atacante consigue extraer frases semilla, claves privadas o tokens de sesión, el siguiente paso puede ser el vaciado de cuentas y carteras.
La filtración del exploit en repositorios públicos como GitHub ha cambiado el escenario. Ya no hablamos solo de grupos muy sofisticados con recursos propios, sino de cualquier actor que sea capaz de descargar el código, adaptarlo mínimamente y probarlo contra dispositivos que sigan en versiones antiguas de iOS 18.
Qué ha hecho Apple: el papel de iOS 18.7.7 e iPadOS 18.7.7
Apple llevaba tiempo moviendo ficha frente a Coruna y DarkSword en distintas ramas de su sistema operativo. Para cubrir a los equipos más antiguos lanzó, por ejemplo, iOS 15.8.7 y iPadOS 15.8.7 (para iPhone 6s, iPhone 7, iPhone SE de primera generación, iPad Air 2, iPad mini 4 y iPod touch de séptima generación) y iOS 16.7.15 y iPadOS 16.7.15 (para iPhone 8, 8 Plus, X y ciertos iPad Pro y iPad de quinta generación).
En la rama de iOS 18, el parche 18.7.7 se lanzó inicialmente para modelos que no podían ejecutar iOS 26, como el iPhone XS, XS Max, XR o el iPad de séptima generación. Estos dispositivos quedaban así protegidos frente a DarkSword pese a no poder saltar a la versión más reciente del sistema.
El problema es que quedaba un grupo amplio de usuarios en el limbo: quienes tenían móviles y tabletas capaces de actualizar a iOS 26, pero habían decidido no hacerlo. Entre los motivos esgrimidos se citan el rechazo a cambios estéticos como la interfaz de «cristal líquido» o el simple hábito de aplazar grandes actualizaciones.
Tras la publicación de DarkSword en la red, Apple confirmó a medios especializados como Wired que ampliaría la disponibilidad de una versión parcheada de iOS 18 para más dispositivos. Esa revisión incorpora en iOS 18 las mismas protecciones que ya estaban presentes en iOS 26 frente al exploit.
En la práctica, los usuarios que no tienen activada la actualización automática se encontrarán con dos caminos: instalar la nueva versión corregida de iOS 18 o dar el salto a iOS 26, que integra una capa adicional de mejoras de seguridad y endurecimiento del sistema.
Dispositivos cubiertos y alcance de la actualización
Según la documentación de soporte de Apple, iOS 18.7.7 y iPadOS 18.7.7 se han ido habilitando progresivamente para una larga lista de modelos de iPhone y iPad, muchos de ellos todavía muy presentes en el mercado europeo.
Entre los teléfonos, la actualización incluye iPhone XR, iPhone XS, iPhone XS Max, las distintas gamas de iPhone 11, iPhone 12, iPhone 13, iPhone 14, iPhone 15, iPhone 16 e iPhone 16e, así como los iPhone SE de segunda y tercera generación. Es decir, buena parte del parque de terminales todavía activos en España y otros países de la Unión Europea.
En el lado de las tabletas, la lista abarca iPad mini de quinta generación con chip A17 Pro, iPad de séptima generación con A16, varias generaciones de iPad Air (de la tercera a la quinta y los nuevos modelos de 11 y 13 pulgadas con M2 y M3), además de los iPad Pro de 11 pulgadas desde la primera generación hasta los M4 y los iPad Pro de 12,9 y 13 pulgadas más recientes.
Apple subraya que la actualización se considera una corrección de seguridad crítica y está recomendada para todos los usuarios. La compañía recuerda también que las primeras correcciones relacionadas con DarkSword se enviaron ya en 2025, pero que era necesario ampliar el alcance debido a la publicación del kit de explotación.
En Europa, la distribución de iOS 18.7.7 se realiza de forma escalonada, pero la mayoría de los usuarios debería verla disponible en Ajustes > General > Actualización de software en cuestión de horas desde su aparición. Conviene revisar de forma manual, sobre todo si se tiene desactivada la instalación automática.
Impacto global de DarkSword y riesgo para usuarios en Europa
Antes de la filtración pública del kit, las campañas con DarkSword habían sido identificadas en países como China, Malasia, Turquía, Arabia Saudí y Ucrania. Los objetivos parecían estar muy seleccionados, en algunos casos vinculados a contextos geopolíticos delicados.
Sin embargo, cuando el código de una herramienta de este tipo termina en Internet, las fronteras dejan de ser un freno real. Cualquier actor con motivación económica o política puede intentar reutilizar el exploit, adaptarlo y lanzarlo contra víctimas en otros mercados, incluida la Unión Europea.
Para usuarios de España y del resto de Europa, esto significa que el hecho de no estar en la lista inicial de países atacados no es ningún salvavidas. Si se navega con frecuencia por webs de terceros, se usan servicios financieros desde el móvil o se gestionan criptomonedas, la ventana de riesgo aumenta si el dispositivo sigue sin parchear.
El sector cripto, en particular, ha seguido de cerca este caso porque DarkSword apunta de forma explícita a aplicaciones de monedero y a otros servicios vinculados a activos digitales. Un descuido en una actualización puede traducirse en pérdidas económicas directas si un atacante consigue acceder a claves o tokens de autenticación.
Además, el robo de mensajes, historiales de navegación y datos de localización abre la puerta a campañas de chantaje, fraude dirigido o suplantación de identidad. No hace falta ser una figura pública para llamar la atención de grupos que viven de explotar la información personal de forma masiva.
Modo Aislamiento, hábitos de seguridad y recomendaciones prácticas
Junto al parche, Apple ha vuelto a poner el foco en el Modo Aislamiento (Lockdown Mode), una función opcional pensada para personas que puedan ser objetivo de amenazas avanzadas: periodistas, activistas, cargos públicos o perfiles con alto valor estratégico.
Este modo endurece drásticamente el comportamiento del sistema: limita ciertos tipos de contenido en mensajes, reduce la superficie de ataque del navegador y bloquea funcionalidades susceptibles de ser explotadas. La compañía afirma no tener constancia de intrusiones exitosas con spyware gubernamental en dispositivos que tuvieran el Modo Aislamiento activado.
Para el usuario medio, quizá no sea necesario vivir permanentemente en ese nivel de restricción, pero puede ser una opción razonable en viajes delicados, contextos laborales sensibles o para personas que sospechen de un riesgo concreto. El Modo Aislamiento está disponible desde iOS 16, iPadOS 16, watchOS 10 y macOS Ventura, con protecciones adicionales a partir de iOS 17 y equivalentes.
Más allá de esa capa extra, las pautas básicas de seguridad siguen siendo válidas: mantener el sistema y las aplicaciones al día, desconfiar de enlaces sospechosos, evitar webs de procedencia dudosa y revisar los permisos que se otorgan a cada app. Con DarkSword, la prioridad inmediata es que ningún iPhone ni iPad se quede atrás en materia de parches.
En el caso concreto de Europa y España, donde el móvil es ya la principal herramienta para banca, compras y comunicaciones, posponer una actualización crítica por cuestiones estéticas o de costumbre puede salir caro. Aun si el dispositivo no se usa para criptomonedas, la cantidad de datos que maneja basta para convertirlo en un objetivo apetecible.
Al final, el despliegue de iOS 18.7.7 e iPadOS 18.7.7 muestra cómo una filtración pública como la de DarkSword puede obligar a acelerar los calendarios de seguridad de un fabricante. Apple ha optado por extender la protección incluso a quienes habían decidido quedarse en iOS 18, importando defensas que ya estaban presentes en iOS 26. Para los usuarios de iPhone y iPad en España y el resto de Europa, el mensaje es claro: comprobar la versión del sistema, instalar el parche sin dejarlo para más tarde y, en los perfiles más sensibles, valorar seriamente el uso del Modo Aislamiento y de buenas prácticas de seguridad en el día a día.
