Google alerta sobre DarkSword: el 'spyware' que roba datos de iPhones con iOS 18 tras visitar sitios web infectados

La presencia de sitios web legítimos que han sido comprometidos mediante la inserción de código malicioso ha permitido a actores cibernéticos desplegar de manera eficiente métodos de espionaje digital sin que las víctimas adviertan ninguna anomalía en el funcionamiento de sus dispositivos. Estas situaciones han llegado a afectar a usuarios de varias regiones, según información de Google, iVerify y Lookout, que destacan la facilidad con la que los cibercriminales consiguen obtener acceso a datos personales. El caso más reciente alerta sobre un riesgo particular para quienes utilizan versiones antiguas del sistema operativo móvil de Apple.

De acuerdo con lo publicado por Google y detallado por el Grupo de Inteligencia de Amenazas de la empresa (GTIG), junto con los laboratorios iVerify y Lookout, un software espía llamado DarkSword ha conseguido comprometer la privacidad de quienes utilizan iPhones con versiones de iOS comprendidas entre la 18.4 y la 18.7, lanzadas en 2025. Según estimaciones de iVerify citadas por Google, estas ediciones del sistema operativo siguen vigentes en hasta 270 millones de dispositivos en todo el mundo, evidenciando el alcance potencial de la amenaza para los usuarios que no han realizado actualizaciones recientes.

El mecanismo de ataque identificado permite que el espionaje comience con una única acción: la visita a una página web infectada. Según reportó el medio, este exploit actúa sin necesidad de que el usuario descargue archivos o conceda permisos adicionales. Basta con acceder a un sitio legítimo previamente manipulado por ciberdelincuentes, quienes logran insertar en él un iframe malicioso que contiene DarkSword, facilitando la ejecución de su código en los dispositivos vulnerables.

La información publicada por Google señala que DarkSword explota hasta seis vulnerabilidades de día cero en iOS para asumir el control de procesos legítimos del sistema operativo del iPhone. Como resultado, la herramienta puede acceder a múltiples tipos de datos personales en cuestión de minutos, entre los que se incluyen contraseñas de redes WiFi, mensajes de texto, historial de llamadas, ubicación geográfica, datos de la tarjeta SIM y billeteras de criptomonedas. La recolección de estos datos ocurre de manera silenciosa y, al reiniciar el dispositivo, los rastros del ataque desaparecen, dificultando la detección y el rastreo del incidente.

El informe conjunto de Google, iVerify y Lookout identifica la activación de tres familias diferentes de malware asociadas a este método: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, las cuales reflejan el uso del kit de exploits conocido como Coruna, dirigido específicamente al sistema iOS. Estas versiones del malware retoman y adaptan técnicas anteriormente detectadas, pero aprovechan las particularidades de las nuevas vulnerabilidades ahora corregidas en versiones posteriores del sistema operativo de Apple.

Según detalló Google, la exposición al riesgo no ha permanecido únicamente en el ámbito del ciberdelito individual, sino que varias campañas de espionaje asociadas a proveedores comerciales de vigilancia y actores patrocinados por diferentes Estados han utilizado DarkSword desde al menos noviembre de 2025. El medio destacó que estos ataques han golpeado a objetivos en Arabia Saudita, Turquía, Malasia y Ucrania. Asimismo, la empresa señala al grupo identificado como UNC6353, vinculado presuntamente a Rusia, como uno de los principales responsables de la adopción de DarkSword, tras una etapa de uso previo del kit Coruna contra objetivos ucranianos.

Una de las tácticas documentadas incluyó la manipulación de sitios web que simulan pertenecer a redes sociales populares —en uno de los ataques identificados se empleó un sitio web relacionado con Snapchat— para lograr engañar a los usuarios y asegurar su exposición al exploit. Tras el acceso inicial a través del navegador, DarkSword logra escalar privilegios dentro del sistema operativo, comenzando por el motor Webkit hasta llegar al “kernel”, comprometiendo totalmente el dispositivo objetivo.

Los expertos citados por Google y sus socios en ciberseguridad indican que esta cadena de ataques resulta especialmente difícil de detectar y remediar, ya que la eliminación automática de evidencias tras el reinicio impide que los usuarios y los equipos de respuesta tomen conciencia del incidente. La divulgación se facilitó debido a que algunos operadores dejaron expuesto partes del código malicioso en servidores de acceso público, permitiendo a los investigadores analizar el funcionamiento de la amenaza.

El medio informó que GTIG comunicó formalmente a Apple la existencia y los detalles de estas vulnerabilidades al finalizar 2025. Posteriormente, Apple corrigió en su totalidad los problemas de seguridad mediante la actualización del sistema iOS a la versión 26.3. Pese a estas correcciones, quienes permanecen utilizando iOS 18.4 hasta iOS 18.7 conservan un elevado nivel de riesgo, dado que sus dispositivos pueden ser comprometidos si visitan páginas comprometidas.

A fin de reducir el impacto de la amenaza, Google comunicó que incluyó los dominios implicados en la distribución de DarkSword a su servicio de Navegación Segura, aportando de este modo una capa adicional de protección en tiempo real para los usuarios de su navegador. De igual modo, los investigadores de seguridad y la propia Apple recomiendan actualizar los dispositivos afectados a la versión más reciente del sistema operativo para evitar que la vulnerabilidad siga siendo explotable.

El seguimiento de estos incidentes, tal como confirmó el medio, ha permitido establecer que el spyware sigue constituyendo una seria preocupación en el contexto de la ciberseguridad móvil. Los patrones observados apuntan a una sofisticación técnica creciente y a la colaboración entre actores estatales y grupos de delincuencia organizada, lo que complica los esfuerzos globales para detener su propagación y mitigar los daños asociados al robo de información confidencial de millones de usuarios.