Filtran una versión actualizada de DarkSword en GitHub: el 'exploit' que roba datos en iPhone accesible para cualquiera

El código de la herramienta DarkSword, una de las amenazas más recientes dirigidas contra usuarios de iPhone, se encuentra disponible públicamente en GitHub tras una filtración señalada por investigadores y empresas especializadas. De acuerdo con TechCrunch, la publicación de DarkSword en un repositorio accesible permite que cualquier persona, aunque cuente con pocos conocimientos técnicos, emplee este exploit para atacar dispositivos iPhone con versiones antiguas de iOS 18, poniendo en riesgo la seguridad de millones de usuarios.

Según lo reportado por TechCrunch, DarkSword explota hasta seis vulnerabilidades conocidas como “de día cero” en las ediciones comprendidas entre iOS 18.4 y iOS 18.7. El exploit puede tomar el control total del dispositivo objetivo y sustraer mensajes, registros de llamadas, información de ubicación, así como datos almacenados en billeteras de criptomonedas. Basta que la víctima visite una página web gestionada por un atacante para que el sistema se vea comprometido, lo que habilita el robo masivo de información personal en pocos minutos. Tras realizar el ataque, DarkSword elimina los rastros de su actividad, evitando su detección posterior.

El Grupo de Inteligencia de Amenazas de Google (GTIG), iVerify y Lookout fueron quienes dieron a conocer públicamente la capacidad de DarkSword, según informó TechCrunch. Las empresas coinciden en que la reciente publicación del código fuente representa un incremento mucho mayor del riesgo para la comunidad global de usuarios de Apple.

Matthias Frielingsdorf, cofundador de iVerify, expuso a TechCrunch que la versión publicada en GitHub es una variante actualizada del exploit previamente estudiado por firmas de ciberseguridad, aunque contiene ligeras modificaciones en los archivos. El código, basado en HTML y JavaScript, viene acompañado de explicaciones precisas sobre la explotación de las vulnerabilidades. La facilidad y comprensibilidad de las instrucciones permite que cualquier interesado pueda activar DarkSword alojando el código en un servidor externo en un corto periodo de tiempo.

Frielingsdorf indicó, en declaraciones citadas por TechCrunch, que la filtración de este exploit genera una situación de "gravedad", subrayando la facilidad para su reutilización: “No creo que esto se pueda controlar”. El investigador anticipó que actores maliciosos podrían aprovechar en masa el exploit, dada la sencillez para su implementación. Kimberly Samra, portavoz de Google, expuso una apreciación similar para TechCrunch, afirmando que el equipo de GTIG considera peligrosa la diseminación pública del código.

Usuarios han reportado pruebas exitosas de aplicación del exploit. TechCrunch recogió la experiencia de Matteyeux, quien relató en X que, utilizando DarkSword descargado de GitHub, logró acceder y modificar privilegios a nivel de Kernel en un iPad mini de sexta generación que ejecutaba iOS 18.6.2. Esta demostración pública ilustra la rapidez y eficacia con la que la herramienta vulnera sistemas no actualizados.

Frente a estos hechos, los expertos consultados en TechCrunch recalcaron la urgencia de instalar la versión iOS 26 del sistema operativo. Apple ya ha corregido en esta nueva edición las seis vulnerabilidades utilizadas por DarkSword. Según cifras compartidas en la investigación conjunta de iVerify recogidas por TechCrunch, existen alrededor de 270 millones de dispositivos activos que todavía funcionan con versiones antiguas de iOS 18 susceptibles de ataque.

Sarah O'Rourke, portavoz de Apple, manifestó a TechCrunch que la compañía tuvo conocimiento de DarkSword y, como respuesta, el 11 de marzo se distribuyó una actualización de seguridad de emergencia para dispositivos que no puede instalar versiones más recientes de iOS, mitigando así el riesgo para los usuarios afectados. O'Rourke aseguró que con el software actualizado los equipos están protegidos frente al exploit y recordó la existencia de múltiples medidas adicionales de seguridad, como el Modo Bloqueo.

TechCrunch recordó que, tras el descubrimiento inicial de DarkSword, surgió evidencia de su empleo por proveedores comerciales de vigilancia y actores relacionados con campañas de espionaje patrocinadas por estados. Se documentó la utilización del exploit en países como Arabia Saudita, Turquía, Malasia y Ucrania, atribuyendo algunos casos al grupo ruso denominado UNC6353. Hasta ese momento, DarkSword se encontraba restringido a operaciones específicas y sofisticadas, pero desde su publicación abierta en GitHub, la amenaza se extiende a cualquier persona capaz de acceder y aprovechar el código para fines ilícitos.

La disponibilidad de esta herramienta representa un salto en la exposición al riesgo de quienes continúan utilizando versiones vulnerables de iOS. Las empresas de seguridad y los investigadores involucrados advirtieron en TechCrunch sobre la inminente multiplicación de ataques dirigidos con base en este exploit debido a lo fácil que resulta su operación, mientras la principal recomendación radica en la actualización inmediata del software para reducir la superficie de exposición al ataque.