En los últimos análisis de seguridad se ha identificado DarkSword, un kit de explotación que permite a atacantes extraer datos de dispositivos iPhone simplemente mediante la visita a una página web maliciosa. Investigadores de Google Threat Intelligence Group, Lookout e iVerify han documentado la cadena de ataque: varias vulnerabilidades en Safari y en iOS 18.4–18.7 se encadenan para obtener acceso privilegiado y ejecutar módulos de exfiltración.
A diferencia de muchas amenazas persistentes, DarkSword actúa rápidamente, copia la información que interesa y borra rastros para minimizar la detección.
El funcionamiento del conjunto se apoya en una orquestación JavaScript que se inyecta en servicios del sistema y activa módulos especializados. Los datos alcanzados incluyen desde contraseñas guardadas hasta bases de datos de mensajería y credenciales de carteras de criptomonedas. Las observaciones públicas indican que la herramienta no busca realizar vigilancia continua, sino extracciones breves y precisas, con una ventana de permanencia en el dispositivo que suele medirse en minutos antes de autoliquidarse.
Qué hace DarkSword y qué roba
DarkSword despliega varios módulos tras ganar ejecución en el kernel: JavaScript de recopilación, puertas traseras y utilidades para listar cuentas y archivos. Entre las piezas identificadas por los equipos de investigación figuran las familias GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, cada una con funciones específicas de datamining y exfiltración. Los elementos comprometidos pueden incluir contactos, historial de llamadas, mensajes (iMessage, WhatsApp, Telegram), fotos y capturas de pantalla, historial de ubicaciones, contenido de iCloud, contraseñas Wi‑Fi, entradas del llavero y datos de carteras criptográficas como Coinbase o Ledger.
Cómo se entrega el ataque y vectores observados
El punto de entrada suele ser el navegador Safari mediante watering hole o iframes maliciosos insertados en sitios legítimos. Los atacantes comprometieron páginas de noticias y portales oficiales para redirigir o servir los exploits de forma encubierta; ejemplos notables incluyen una web con temática de Snapchat llamada Snapshare y sitios gubernamentales ucranianos. La cadena inicia con fallos de sandbox escape, privilege escalation y ejecución remota que permiten al orquestador (pe_main.js, según los informes) inyectar un motor JavaScript en servicios privilegiados como Keychain, SpringBoard y la gestión de Wi‑Fi.
Detalles técnicos y vulnerabilidades identificadas
Los ataques aprovechan una combinación de CVE ya documentadas; entre ellas figuran CVE-2026-31277, CVE-2026-43529, CVE-2026-20700, CVE-2026-14174, CVE-2026-43510 y CVE-2026-43520. iVerify señaló que las fallas implicadas abarcan sandbox escape, escalado de privilegios y ejecución en memoria, y que Apple ha ido corrigiendo estos vectores en versiones más recientes de iOS. Investigadores también notaron comentarios en el código y signos de asistencia de modelos de lenguaje para ampliar y mantener la base de código, lo que sugiere una plataforma profesionalizada de desarrollo malicioso.
Actores observados y campañas
Los análisis atribuyen uso de DarkSword a varios actores: grupos identificados como UNC6748, vinculados a campañas contra usuarios en Arabia Saudí; clientes comerciales de vigilancia como PARS Defense en Turquía y Malasia; y un actor con sospechas de relación estatal, UNC6353, que empleó la herramienta contra blancos en Ucrania. Además, DarkSword guarda relación operativa con un exploit anterior llamado Coruna, que afectó versiones de iOS 13–17, lo que indica evolución y reutilización de infraestructuras.
Comportamiento post‑ataque
Una nota distintiva del conjunto es su intento por evitar persistencia: tras recopilar y enviar los datos, los módulos eliminan archivos temporales y terminan su ejecución. Esto reduce la superficie para detectores forenses en el dispositivo, pero no borra el código fuente ni las herramientas en los servidores controlados por los atacantes; de hecho, se ha observado que el código quedó disponible para terceros, lo que facilita replicaciones futuras por más actores.
Recomendaciones para usuarios
Si usas un iPhone con iOS 18, la recomendación principal es actualizar a la versión más reciente de iOS que Apple haya publicado (por ejemplo, iOS 26.3.1 según informes) y activar medidas adicionales como el Modo bloqueo si estás en riesgo elevado. Evita abrir enlaces no verificados desde navegadores, mantén backups fuera de línea y considera herramientas de seguridad en dispositivos gestionados. Para modelos que no puedan actualizarse, monitorea los boletines de Apple por posibles retrocompatibilizaciones de parches.
