La vulnerabilidad conocida como DarkSword se ha convertido en uno de los incidentes de seguridad más serios que han afectado recientemente a los iPhone. Investigadores de Google, iVerify y Lookout han documentado cómo este conjunto de exploits de tipo cero clic permite tomar el control de dispositivos con iOS 18 con tan solo cargar una página web infectada, sin que la persona tenga que pulsar nada ni abrir enlaces sospechosos.
El caso ha encendido todas las alarmas en la comunidad de ciberseguridad europea, porque cientos de millones de iPhones en todo el mundo siguen ejecutando versiones vulnerables de iOS 18. A pesar de que Apple ya ha publicado correcciones y parches de emergencia, la adopción de las últimas versiones va más lenta de lo que cabría esperar, en parte por dudas sobre cómo gestionar el espacio, lo que mantiene una superficie de ataque considerable tanto en Europa como en otros mercados.
Qué es exactamente DarkSword y por qué preocupa tanto
DarkSword no es un simple fallo aislado, sino un kit de ataque completo para iOS diseñado para comprometer iPhones sin interacción del usuario. Los análisis técnicos muestran que la herramienta encadena alrededor de seis vulnerabilidades de día cero para pasar desde el navegador Safari hasta el propio núcleo del sistema operativo, obteniendo privilegios suficientes como para acceder a prácticamente toda la información del dispositivo.
La campaña original se detectó en decenas de sitios web legítimos ucranianos que habían sido manipulados. Bastaba con entrar en una de esas páginas desde un iPhone afectado para que se ejecutara la cadena de explotación en segundo plano. A partir de ahí, DarkSword podía leer mensajes de iMessage, WhatsApp y Telegram, revisar el historial de navegación, consultar notas, eventos de calendario o incluso acceder a registros de la app Salud de Apple.
Uno de los elementos que más inquieta a los investigadores es que el ataque se ha desplegado a gran escala y no solo contra objetivos de alto perfil. Según los datos recopilados por iVerify y Lookout, entre 220 y 270 millones de iPhones continúan usando versiones vulnerables de iOS 18, lo que en la práctica supone alrededor de un 14-25 % del parque activo de iPhone.
Además, DarkSword se apoya en una arquitectura de módulos de pos-explotación —denominados por los analistas con nombres en clave como GHOSTBLADE, GHOSTKNIFE o GHOSTSABER— que se encargan de recolectar y empaquetar la información robada en muy poco tiempo, algo especialmente atractivo para campañas de espionaje y robo de criptomonedas.
Cómo funciona el ataque: de Safari al núcleo de iOS
El funcionamiento de DarkSword se basa en una cadena de errores de seguridad que se van encadenando uno detrás de otro. El punto de entrada principal es el navegador Safari o cualquier componente que renderice contenido web. Al cargar una página intervenida, se ejecuta código específicamente diseñado para aprovechar fallos en el motor de JavaScript y en otros componentes del navegador.
Una vez que esa primera fase tiene éxito, el exploit avanza hacia capas más profundas del sistema aprovechando vulnerabilidades adicionales hasta lograr ejecución de código con privilegios elevados. Con ese nivel de acceso, el atacante puede leer bases de datos internas, extraer llaveros de contraseñas, revisar conversaciones y consultar ficheros que normalmente están protegidos incluso para las propias apps de usuario.
El enfoque es del tipo fileless, es decir, DarkSword evita instalar aplicaciones visibles o ficheros persistentes. En su lugar, secuestra procesos del propio sistema operativo, ejecuta las órdenes maliciosas desde la memoria y elimina rastros en cuestión de minutos. Este comportamiento «golpe y fuga» complica enormemente su detección, incluso para soluciones especializadas, porque tras un reinicio del teléfono apenas quedan indicios claros de la intrusión.
Esta manera de operar recuerda a técnicas clásicas empleadas en ataques avanzados contra ordenadores, pero adaptadas al ecosistema de Apple. De hecho, los investigadores subrayan que no se han observado indicadores habituales de spyware residente, lo que cambia bastante las reglas del juego para quienes están acostumbrados a buscar aplicaciones sospechosas en el dispositivo.
Versiones de iOS afectadas y alcance global
Las primeras oleadas de DarkSword se dirigieron principalmente a iPhones con iOS 18. Los informes de Google, Lookout e iVerify apuntan de manera consistente a las versiones comprendidas entre iOS 18.4 e iOS 18.6.2 como las más claramente comprometidas en las campañas detectadas. En algunos análisis se menciona también la corrección parcial en iOS 18.7.2, mientras que otros sitúan el cierre completo de la brecha en iOS 26 y posteriores.
En cualquier caso, el cuadro que dibujan los datos es claro: un volumen muy elevado de dispositivos sigue ejecutando iOS 18, ya sea porque sus propietarios no han dado el salto a las últimas versiones o porque prefieren evitar cambios en la interfaz. Esta situación no solo afecta a usuarios de países en conflicto, sino también a millones de personas en la Unión Europea y España que utilizan a diario su iPhone para banca, identificación digital o firma electrónica.
Los investigadores han documentado el uso de DarkSword desde, al menos, finales de 2025. Aunque el descubrimiento inicial se produjo en dominios ucranianos, pronto se detectaron campañas contra objetivos en Arabia Saudí, Turquía y Malasia. En varios de estos casos, el exploit se encontraba insertado en webs legítimas, como portales de noticias o sitios administrativos, aprovechando su buena reputación para pasar desapercibido.
En Europa, el riesgo es más indirecto pero no por ello menor: cualquier usuario que visite páginas comprometidas alojadas fuera del territorio europeo, o que se conecte a través de redes internacionales, puede acabar cargando el código malicioso. Además, el hecho de que DarkSword sea un kit reutilizable aumenta la probabilidad de que termine integrándose en campañas de ciberdelincuencia más amplias, incluidas las orientadas al robo de cuentas bancarias online y carteras de criptomonedas usadas por ciudadanos europeos.
Quién está detrás de DarkSword y qué relación tiene con Coruna
Una pieza clave para entender el impacto de DarkSword es su contexto. A principios de mes, el mismo equipo de Google e iVerify hizo público otro kit de ataque de alto nivel conocido como Coruna, capaz de comprometer iPhones desde iOS 13 hasta iOS 17.2.1 mediante 23 vulnerabilidades encadenadas. Ambos paquetes de exploits aparecieron en la misma infraestructura de servidores, lo que apunta a una fuente común o, al menos, a la colaboración entre varios actores.
Parte de este arsenal tendría su origen en el mercado de exploits de gama gubernamental. Investigaciones previas citan el caso de un exmiembro de la división Trenchant, perteneciente a la contratista de defensa L3Harris, que admitió haber vendido una serie de vulnerabilidades a un intermediario ruso conocido como Operation Zero. A partir de ahí, las cadenas de explotación habrían ido pasando de manos estatales a grupos criminales con menos escrúpulos.
En el caso de DarkSword, Google asegura haber observado su uso por proveedores comerciales de vigilancia y por presuntos hackers vinculados a aparatos de inteligencia estatales. Una de las campañas se relaciona específicamente con PARS Defense, una compañía turca de vigilancia comercial, en ataques dirigidos a objetivos de Turquía y Malasia.
Los vínculos con Rusia también están presentes. Parte del código se desplegó en sitios ucranianos comprometidos, y los investigadores hablan de operadores conectados a intereses rusos que habrían reutilizado el exploit para combinar espionaje político y lucro económico. El detalle más llamativo es que el código de DarkSword apareció en algunos servidores sin ofuscar y con comentarios explicativos en inglés, lo que facilita que otros actores maliciosos puedan copiarlo, adaptarlo y lanzar nuevas campañas.
La aparición casi consecutiva de Coruna y DarkSword ilustra hasta qué punto el mercado de herramientas de intrusión para iOS está cambiando. Lo que antes eran «armas de francotirador» reservadas a operaciones puntuales sobre objetivos concretos se está transformando en un arsenal de uso masivo, con un alcance potencial que va mucho más allá de los círculos diplomáticos o militares.
Qué información puede robar DarkSword de un iPhone
Los informes técnicos coinciden en que DarkSword tiene capacidad para extraer un abanico muy amplio de datos sensibles. Una vez completada la intrusión, los módulos de pos-explotación pueden acceder a contraseñas almacenadas, tokens de autenticación y credenciales de servicios en la nube. Entre ellos se incluyen cuentas de correo, redes sociales y accesos a servicios financieros.
En el terreno de las comunicaciones, el kit está preparado para recopilar mensajes y registros de iMessage, WhatsApp y Telegram, además de otras aplicaciones de mensajería que se apoyan en las mismas bases de datos internas. Esto permite reconstruir conversaciones pasadas, obtener números de teléfono y metadatos sobre con quién se habla y con qué frecuencia.
DarkSword también apunta a la parte más personal del dispositivo: fotos, vídeos, historial de navegación, notas, calendario y datos de la app Salud. No se trata solo de un problema de privacidad abstracta; en muchos casos estos datos permiten perfilar rutinas diarias, hábitos, ubicación aproximada y hasta información sobre el estado de salud, algo especialmente delicado bajo las estrictas normativas europeas de protección de datos.
Un objetivo prioritario son las billeteras de criptomonedas y otros activos digitales. El malware busca específicamente credenciales y claves asociadas a monederos, plataformas de intercambio y aplicaciones financieras. Los investigadores han documentado campañas en las que los operadores de DarkSword empleaban webs de criptomonedas fraudulentas para canalizar el robo de fondos, combinando así espionaje y delito económico.
Todo ello se realiza en un intervalo de tiempo relativamente corto. El diseño «sin archivos» favorece ataques rápidos, en los que el spyware recopila el máximo de información posible en los primeros minutos tras la infección y, a continuación, limpia buena parte de sus huellas. De este modo se reduce la probabilidad de que el usuario detecte algo extraño en el comportamiento del teléfono.
Medidas de protección: actualizaciones, modo de aislamiento y buenas prácticas
Ante un exploit de este calibre, la principal línea de defensa es, por simple que suene, mantener el iPhone actualizado. Apple ha ido corrigiendo las vulnerabilidades subyacentes en varias rondas: primero con actualizaciones de seguridad específicas para iOS 18, después con parches como iOS 18.7.2 y, finalmente, cerrando las brechas en las series más recientes de iOS 26.
En la práctica, la recomendación para cualquier usuario en España o el resto de Europa es acceder a Ajustes > General > Actualización de software y verificar que el dispositivo ejecuta la última versión disponible para su modelo. Si el iPhone puede actualizar a iOS 26, lo más prudente es hacerlo cuanto antes. Para terminales que se quedan en iOS 18, es fundamental instalar todos los parches de seguridad liberados por Apple.
Otra capa de defensa relevante es el Modo Aislamiento (Lockdown Mode). Este modo, pensado en un principio para usuarios de alto riesgo —periodistas, activistas, cargos públicos—, ha demostrado ser eficaz para bloquear o, al menos, dificultar significativamente cadenas de explotación como las que usan DarkSword y Coruna. De hecho, algunos de estos kits optan por abortar la intrusión si detectan que el dispositivo está en ese modo, para no dejar rastro que facilite la investigación.
Más allá de las actualizaciones y de las funciones avanzadas, hay una serie de buenas prácticas que siguen siendo válidas. Aunque en esta campaña en concreto no haga falta pulsar en enlaces extraños para infectarse, conviene limitar la exposición visitando únicamente webs de confianza, evitando redes Wi‑Fi públicas sin cifrado y revisando periódicamente los ajustes de privacidad y seguridad del sistema.
Para usuarios que manejan grandes volúmenes de datos sensibles o activos digitales, puede tener sentido apoyarse en herramientas especializadas de monitorización como las que ofrecen compañías del sector de la seguridad móvil. No son una solución mágica —más aún con ataques tan sigilosos—, pero pueden ayudar a detectar comportamientos anómalos o configuraciones vulnerables.
El caso DarkSword ha servido también para recordar a muchos propietarios de iPhone en Europa que la seguridad «de fábrica» no es infalible. iOS se mantiene como una de las plataformas móviles más robustas, pero las amenazas de nivel estatal y los mercados de exploits de alto presupuesto están alcanzando un grado de sofisticación que obliga a extremar precauciones y a tomarse muy en serio las actualizaciones de seguridad.
