En las últimas investigaciones de seguridad se ha identificado una herramienta de intrusión denominada DarkSword que puede comprometer un iPhone con solo visitar una página web manipulada. Expertos de Google, Lookout e iVerify han documentado cómo esta técnica aprovecha fallos en iOS y en Safari para ejecutar código sin necesidad de que la víctima descargue ningún archivo. Esa forma de ataque transforma una visita aparentemente inocua en una brecha inmediata de privacidad y datos personales.
Apple ha comunicado que el año pasado aplicó correcciones a las vulnerabilidades subyacentes y que, además, emitió una actualización de emergencia dirigida a dispositivos más antiguos el 11 de marzo. Según la compañía, los equipos con iOS 15 hasta iOS 26 cuentan con protección frente a este exploit; quienes todavía usan iOS 13 o iOS 14 deben actualizar a iOS 15 para recibir las mismas defensas. También se ha confirmado que el modo opcional Lockdown Mode y la función de Memory Integrity Enforcement en modelos recientes como el iPhone 17 limitan la efectividad de estos ataques.
Cómo funciona DarkSword
DarkSword se compone de varias fases que combinan vulnerabilidades del navegador y del sistema operativo para lograr lo que los investigadores califican de ataque drive-by. Al cargar una página comprometida, el exploit ejecuta cadenas de fallos que permiten ejecutar scripts y utilizar procesos legítimos del sistema para extraer información. Esta técnica, similar al fileless común en algunos ataques a equipos de escritorio, evita dejar rastros fáciles de detectar en el almacenamiento del dispositivo y permite una extracción rápida de datos.
Técnica y alcance del robo de datos
El payload observado en algunas campañas recibe el nombre de Ghostblade, un recolector en JavaScript que extrae desde identificadores del dispositivo hasta mensajes, historial de navegación, fotos, datos de salud y credenciales de billeteras de criptomonedas. En lugar de persistir en el teléfono, el malware realiza lo que los expertos describen como un método smash-and-grab: robar lo máximo posible en los primeros minutos tras la infección y luego desaparecer tras un reinicio.
Quiénes han usado la herramienta y por qué preocupa
Investigadores han observado campañas que afectaron a víctimas en países como Arabia Saudí, Turquía, Malasia y Ucrania. Los operadores han incluido actores estatales y proveedores comerciales de spyware; además, partes del código se encontraron públicas en sitios comprometidos, lo que facilita su reutilización por otros grupos. Esa exposición aumenta el riesgo de que herramientas originalmente diseñadas para operaciones dirigidas terminen desplegadas de forma indiscriminada por actores criminales.
Origen y comercialización de exploits
El análisis del código mostró comentarios en inglés y referencias que sugieren la intervención de intermediarios en el mercado de vulnerabilidades. Algunas investigaciones relacionan prácticas de compraventa de exploits con firmas y corredores que revenden herramientas a terceros; ese mercado, según expertos, reduce las barreras técnicas para quienes quieran usar un exploit potente sin desarrollarlo. La disponibilidad pública de partes de DarkSword facilita que se reproduzca y multiplique su uso malicioso.
Medidas prácticas para reducir el riesgo
Ante esta amenaza, hay pasos concretos que cualquier usuario puede seguir: mantener el software actualizado es la primera defensa —actualizar a iOS 15 o superior si corresponde— y aplicar parches de seguridad que Apple ha distribuido. Safari incorpora Apple Safe Browsing que bloquea URL maliciosas identificadas por Google, y habilitar el Lockdown Mode añade otra capa de protección. Las firmas de seguridad como iVerify y Lookout ofrecen herramientas que pueden detectar indicios de compromiso.
Además de actualizar, se recomiendan buenas prácticas básicas: activar autenticación de dos factores, desconfiar de enlaces y archivos inesperados, revisar las alertas de seguridad del sistema y, ante la sospecha de infección, reiniciar el dispositivo y consultar aplicaciones de seguridad para análisis. Estas medidas no solo reducen la probabilidad de infección por DarkSword, sino que fortalecen la higiene digital frente a futuras amenazas.
