La presencia de sitios web legítimos que han sido comprometidos mediante la inserción de código malicioso ha permitido a actores cibernéticos desplegar de manera eficiente métodos de espionaje digital sin que las víctimas adviertan ninguna anomalía en el funcionamiento de sus dispositivos. Estas situaciones han llegado a afectar a usuarios de varias regiones, según información de Google, iVerify y Lookout, que destacan la facilidad con la que los cibercriminales consiguen obtener acceso a datos personales. El caso más reciente alerta sobre un riesgo particular para quienes utilizan versiones antiguas del sistema operativo móvil de Apple.
De acuerdo con lo publicado por Google y detallado por el Grupo de Inteligencia de Amenazas de la empresa (GTIG), junto con los laboratorios iVerify y Lookout, un software espía llamado DarkSword ha conseguido comprometer la privacidad de quienes utilizan iPhones con versiones de iOS comprendidas entre la 18.4 y la 18.7, lanzadas en 2025. Según estimaciones de iVerify citadas por Google, estas ediciones del sistema operativo siguen vigentes en hasta 270 millones de dispositivos en todo el mundo, evidenciando el alcance potencial de la amenaza para los usuarios que no han realizado actualizaciones recientes.
El mecanismo de ataque identificado permite que el espionaje comience con una única acción: la visita a una página web infectada. Según reportó el medio, este exploit actúa sin necesidad de que el usuario descargue archivos o conceda permisos adicionales. Basta con acceder a un sitio legítimo previamente manipulado por ciberdelincuentes, quienes logran insertar en él un iframe malicioso que contiene DarkSword, facilitando la ejecución de su código en los dispositivos vulnerables.
La información publicada por Google señala que DarkSword explota hasta seis vulnerabilidades de día cero en iOS para asumir el control de procesos legítimos del sistema operativo del iPhone. Como resultado, la herramienta puede acceder a múltiples tipos de datos personales en cuestión de minutos, entre los que se incluyen contraseñas de redes WiFi, mensajes de texto, historial de llamadas, ubicación geográfica, datos de la tarjeta SIM y billeteras de criptomonedas. La recolección de estos datos ocurre de manera silenciosa y, al reiniciar el dispositivo, los rastros del ataque desaparecen, dificultando la detección y el rastreo del incidente.
El informe conjunto de Google, iVerify y Lookout identifica la activación de tres familias diferentes de malware asociadas a este método: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, las cuales reflejan el uso del kit de exploits conocido como Coruna, dirigido específicamente al sistema iOS. Estas versiones del malware retoman y adaptan técnicas anteriormente detectadas, pero aprovechan las particularidades de las nuevas vulnerabilidades ahora corregidas en versiones posteriores del sistema operativo de Apple.
Según detalló Google, la exposición al riesgo no ha permanecido únicamente en el ámbito del ciberdelito individual, sino que varias campañas de espionaje asociadas a proveedores comerciales de vigilancia y actores patrocinados por diferentes Estados han utilizado DarkSword desde al menos noviembre de 2025. El medio destacó que estos ataques han golpeado a objetivos en Arabia Saudita, Turquía, Malasia y Ucrania. Asimismo, la empresa señala al grupo identificado como UNC6353, vinculado presuntamente a Rusia, como uno de los principales responsables de la adopción de DarkSword, tras una etapa de uso previo del kit Coruna contra objetivos ucranianos.
Una de las tácticas documentadas incluyó la manipulación de sitios web que simulan pertenecer a redes sociales populares —en uno de los ataques identificados se empleó un sitio web relacionado con Snapchat— para lograr engañar a los usuarios y asegurar su exposición al exploit. Tras el acceso inicial a través del navegador, DarkSword logra escalar privilegios dentro del sistema operativo, comenzando por el motor Webkit hasta llegar al “kernel”, comprometiendo totalmente el dispositivo objetivo.
Los expertos citados por Google y sus socios en ciberseguridad indican que esta cadena de ataques resulta especialmente difícil de detectar y remediar, ya que la eliminación automática de evidencias tras el reinicio impide que los usuarios y los equipos de respuesta tomen conciencia del incidente. La divulgación se facilitó debido a que algunos operadores dejaron expuesto partes del código malicioso en servidores de acceso público, permitiendo a los investigadores analizar el funcionamiento de la amenaza.
El medio informó que GTIG comunicó formalmente a Apple la existencia y los detalles de estas vulnerabilidades al finalizar 2025. Posteriormente, Apple corrigió en su totalidad los problemas de seguridad mediante la actualización del sistema iOS a la versión 26.3. Pese a estas correcciones, quienes permanecen utilizando iOS 18.4 hasta iOS 18.7 conservan un elevado nivel de riesgo, dado que sus dispositivos pueden ser comprometidos si visitan páginas comprometidas.
A fin de reducir el impacto de la amenaza, Google comunicó que incluyó los dominios implicados en la distribución de DarkSword a su servicio de Navegación Segura, aportando de este modo una capa adicional de protección en tiempo real para los usuarios de su navegador. De igual modo, los investigadores de seguridad y la propia Apple recomiendan actualizar los dispositivos afectados a la versión más reciente del sistema operativo para evitar que la vulnerabilidad siga siendo explotable.
El seguimiento de estos incidentes, tal como confirmó el medio, ha permitido establecer que el spyware sigue constituyendo una seria preocupación en el contexto de la ciberseguridad móvil. Los patrones observados apuntan a una sofisticación técnica creciente y a la colaboración entre actores estatales y grupos de delincuencia organizada, lo que complica los esfuerzos globales para detener su propagación y mitigar los daños asociados al robo de información confidencial de millones de usuarios.
Últimas Noticias
Cuba sufre el segundo apagón total de su sistema eléctrico en una semana
El sistema energético de la isla ha colapsado nuevamente según informó Unión Eléctrica, mientras autoridades aseguran que ya han iniciado los planes de recuperación, sin precisar cuándo se normalizará el servicio tras esta última crisis
Cerca de 1.025 muertos y más de 2.700 heridos por ataques israelíes contra Líbano desde el 2 de marzo
El Ministerio de Sanidad en Beirut comunicó que la ofensiva iniciada por las fuerzas de Israel provocó un balance devastador, dejando cientos de niños y mujeres entre las víctimas y un éxodo masivo hacia Siria según datos de la OIM
El portugués Da Costa lidera el doblete de Jaguar en el Gran Premio de Madrid del Mundial de Fórmula E
Antonio Félix da Costa conquistó la cita madrileña de Fórmula E tras una espectacular remontada y una estratégica maniobra final, mientras el público llenó el Jarama y el rey Felipe VI acompañó la histórica primera edición capitalina de la competición eléctrica
Trump amenaza con desplegar agentes del ICE en los aeropuertos de EEUU
El mandatario estadounidense advirtió que impondrá medidas excepcionales en terminales ante la falta de presupuesto para la seguridad, lo que podría afectar los controles a partir del lunes mientras demócratas y republicanos mantienen su disputa en el Congreso
(Crónica) El Racing cae con estrépito y Dépor y Málaga cumplen por el ascenso directo
El conjunto cántabro fue superado ampliamente por el Albacete, mientras que Deportivo de La Coruña y Málaga sumaron tres puntos vitales en sus duelos, manteniendo la presión sobre los primeros puestos de la clasificación de Segunda División
