Archivo – SAN FRANCISCO, 10 de septiembre de 2025 — Una persona sostiene un nuevo teléfono móvil de Apple tras su lanzamiento en Cupertino, California, Estados Unidos, el 9 de septiembre de 2025. – Europa Press/Contacto/Wu Xiaoling – Archivo
MADRID, 19 Mar. (CIBERPRO) –
Expertos en ciberseguridad de Google, junto con iVerify y Lookout, han advertido sobre un nuevo ‘exploit’ que afecta a dispositivos iPhone denominado DarkSword, un ‘spyware’ que explota vulnerabilidades de iOS 18 para robar información del ‘smartphone’ simplemente al visitar una página web, lo que podría impactar a millones de usuarios que siguen utilizando estas versiones del sistema operativo.
Esta nueva amenaza es capaz de operar sin necesidad de instalar archivos o realizar otro tipo de intrusiones; en lugar de eso, utiliza hasta seis vulnerabilidades de día cero para comprometer por completo los dispositivos. Logra tomar control de los procesos legítimos del sistema operativo del iPhone, roba datos en cuestión de minutos y, al concluir su actividad, elimina cualquier rastro.
Así lo ha revelado el Grupo de Inteligencia de Amenazas de Google (GTIG) en un informe conjunto con las firmas de ciberseguridad iVerify y Lookout, donde han especificado que el ataque de DarkSword despliega tres familias de ‘malware’ diferentes, que son GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, reflejando el kit de ‘exploits’ Coruna para iOS que fue corregido recientemente.
En detalle, DarkSword es compatible con las versiones de sistema operativo que van desde iOS 18.4 hasta iOS 18.7 y, según iVerify, estas versiones lanzadas en 2025 aún están en funcionamiento en aproximadamente 270 millones de dispositivos a nivel mundial, lo que demuestra el riesgo que representa para los usuarios en la actualidad.
ROBO DE DATOS CON SOLO VISITAR UNA WEB INFECTADA
Los investigadores han explicado que para que los atacantes lleven a cabo el ataque DarkSword en el iPhone de la víctima, es suficiente con que el usuario acceda a un sitio web específico.
Estos sitios son páginas legítimas infectadas con un ‘iframe’ malicioso que incluye DarkSword, incrustado por los ciberdelincuentes, por lo que, tan pronto como se carga la página en el iPhone, el ataque se inicia, sin que el usuario deba realizar ninguna otra acción. Por ejemplo, en uno de los ataques detectados en noviembre, el atacante utilizó un sitio web relacionado con la red social Snapchat.
La herramienta accede al dispositivo utilizando procesos legítimos del sistema, comenzando a nivel de Webkit y descendiendo hasta el kernel para, finalmente, comprometer el iPhone por completo. Como resultado, recopila datos de manera masiva, incluidos contraseñas de WiFi, mensajes de texto, historial de llamadas, ubicación, datos de la tarjeta SIM y la billetera de criptomonedas, entre otros datos sensibles.
Todo este proceso ocurre en solo unos minutos y, dado que no requiere la instalación de archivos, una vez que ha terminado, desaparece al reiniciar el dispositivo, borrando así cualquier evidencia de su actividad.
CAMPAÑAS DE ESPIONAJE DE ACTORES PATROCINADOS POR ESTADOS
El uso de esta herramienta maliciosa se ha registrado desde, al menos, noviembre de 2025, cuando el GTIG observó que varios proveedores de vigilancia comerciales y presuntos actores patrocinados por estados emplearon DarkSword en diversas campañas de espionaje dirigidas a objetivos en Arabia Saudita, Turquía, Malasia y Ucrania.
Google ha señalado al grupo supuestamente ruso UNC6353 como uno de los actores maliciosos que ha integrado DarkSword en sus campañas de ataque, después de haber utilizado Coruna previamente contra objetivos en Ucrania.
No obstante, algunos de los ‘hackers’ dejaron el código de DarkSword expuesto, lo que permitió a los investigadores de seguridad comprender el funcionamiento de la herramienta, accesible a través de las webs infectadas.
A pesar de esto, es importante mencionar que el GTIG ya notificó a Apple sobre estas vulnerabilidades utilizadas en los ataques de DarkSword a finales de 2025 y, por su parte, Apple las corrigió completamente con el lanzamiento de iOS 26.3.
Sin embargo, los usuarios que continúan utilizando las versiones afectadas de iOS 18.4 a iOS 18.7 siguen siendo vulnerables a estos ataques, por lo que se recomienda actualizar los dispositivos a la versión más reciente de iOS. Además, Google ha indicado que ha añadido los dominios relacionados con la distribución de DarkSword al servicio de Navegación segura para proteger a los usuarios en tiempo real.
