En marzo de 2026 la comunidad de seguridad detectó una nueva etapa en la difusión de herramientas de ataque para dispositivos apple: versiones de los kits conocidos como DarkSword y Coruna han aparecido públicamente en plataformas como GitHub. Investigadores de empresas como iVerify, Google y Lookout advirtieron que el código filtrado incluye ejemplos sencillos en HTML y JavaScript, lo que permite a actores maliciosos replicar campañas sin necesidad de conocimientos profundos de iOS.
El hallazgo confirmó pruebas prácticas: un aficionado a la seguridad que publica bajo el alias matteyeux demostró que un iPad mini con iOS 18 fue comprometido usando muestras circulantes. Paralelamente, investigadores señalaron que estos kits reutilizan la infraestructura y técnicas observadas en ataques previos, y que la simplicidad del material filtrado reduce drásticamente la barrera de entrada para delincuentes.
Qué se filtró y por qué importa
Los archivos subidos contienen módulos que describen con comentarios cómo explotar vulnerabilidades y cómo exfiltrar datos mediante HTTP.
Un fragmento del código indica que el exploit «lee y extrae archivos forenses relevantes de dispositivos iOS», y señala que la carga útil debe inyectarse en un proceso con acceso al sistema de archivos. Ese tipo de indicaciones técnicos convierten al repositorio en una guía de uso para atacantes que quieran obtener contactos, mensajes, historial de llamadas o incluso el iOS keychain, donde se guardan contraseñas y claves de redes.
Cómo funcionan los ataques y quiénes están en riesgo
Los ataques vinculados a DarkSword y Coruna suelen operar desde páginas web comprometidas que activan cadenas de explotación cuando un dispositivo vulnerable visita el sitio. Estas campañas han mostrado técnicas fileless que usan procesos legítimos del sistema para minimizar rastros; se trata de un enfoque tipo smash-and-grab que recopila información en minutos y no persiste tras un reinicio.
Además, algunos paquetes abortan si detectan Lockdown Mode o navegación privada, lo que reduce su efectividad contra usuarios con configuraciones de seguridad avanzadas.
Alcance técnico de las vulnerabilidades
Según análisis públicos, Coruna aprovechó vulnerabilidades en versiones antiguas de iOS (entre iOS 13.0 y 17.2.1), mientras que DarkSword afecta a dispositivos con iOS 18 o anteriores. Apple estima que una fracción significativa de su base instalada ejecuta sistemas antiguos; con más de 2.5 mil millones de dispositivos activos, ese porcentaje implica potencialmente cientos de millones de terminales expuestos. Además, el historial de usos apunta a abusos tanto por actores estatales como por ciberdelincuentes interesados en robo de credenciales y criptoactivos.
Qué dijo la industria y medidas recomendadas
Apple confirmó la existencia de exploits que apuntan a equipos con sistemas no actualizados y publicó una actualización de emergencia el 11 de marzo para dispositivos que no pueden instalar versiones más recientes de iOS. Desde la compañía se enfatiza que mantener el software al día es la medida defensiva más efectiva y que opciones como Lockdown Mode bloquean estas técnicas específicas. Por su parte, responsables en GitHub y Microsoft no ofrecieron de inmediato comentarios públicos sobre los repositorios filtrados.
Recomendaciones prácticas
Para reducir el riesgo se aconseja en primer lugar actualizar a la versión más reciente de iOS disponible para cada dispositivo. También es recomendable activar el Lockdown Mode en perfiles con alta exposición, limitar la navegación en sitios no verificados desde dispositivos que manejan datos sensibles y aplicar controles de acceso a sistemas críticos cuando se usan teléfonos personales. Las organizaciones deben auditar dispositivos de empleados, vigilar señales de compromiso y proteger billeteras y credenciales almacenadas en equipo móvil.
La aparición pública de estos kits transforma una amenaza que antes se reservaba a actores sofisticados en un riesgo accesible para un mayor número de atacantes. Mantener el dispositivo actualizado, aplicar prácticas de seguridad básicas y estar alerta ante comportamientos inusuales son pasos esenciales para reducir la probabilidad de convertirse en una víctima de estas campañas.
