Investigadores de ciberseguridad de Google, junto con iVerify y Lookout, han alertado sobre un nuevo exploit dirigido a dispositivos iPhone, denominado DarkSword. Este spyware aprovecha vulnerabilidades de iOS 18 para robar datos del smartphone con solo visitar una página web, lo que podría poner en riesgo a millones de usuarios que aún utilizan estas versiones del sistema operativo.
A diferencia de otras amenazas, DarkSword actúa sin necesidad de instalar archivos ni realizar intrusiones adicionales. Aprovecha hasta seis vulnerabilidades de día cero para comprometer por completo los dispositivos. De este modo, puede controlar procesos legítimos del sistema operativo, robar datos en cuestión de minutos y, una vez finalizada su actividad, eliminar cualquier rastro.
Así lo detalló el Grupo de Inteligencia de Amenazas de Google (GTIG) en un informe conjunto con iVerify y Lookout. Según el documento, DarkSword despliega tres familias de malware: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, que forman parte del kit de exploits Coruna para iOS, corregido recientemente.
DarkSword es compatible con versiones de iOS desde la 18.4 hasta la 18.7. Según iVerify, estas versiones lanzadas en 2025 aún se ejecutan en hasta 270 millones de dispositivos a nivel global, lo que evidencia el riesgo que representa para los usuarios actuales.
El nuevo spyware que pone en riesgo su iPhone al navegar por internet
Los investigadores explican que el ataque se ejecuta cuando el usuario visita un sitio web específico. Estos sitios legítimos han sido infectados con un iframe malicioso que contiene DarkSword. Una vez que la página se carga en el iPhone, el spyware comienza a actuar automáticamente, sin intervención adicional del usuario. Por ejemplo, en uno de los ataques identificados en noviembre, se utilizó un sitio web con temática de la red social Snapchat.
Además, accede al dispositivo utilizando procesos del sistema de manera legítima, comenzando a nivel de WebKit y descendiendo hasta el kernel, comprometiendo así el iPhone por completo. El spyware recopila datos masivos, incluyendo contraseñas de wifi, mensajes de texto, historial de llamadas, ubicación, información de la tarjeta SIM y de la billetera de criptomonedas, entre otros datos sensibles. Todo esto ocurre en apenas unos minutos y, al no requerir instalación de archivos, desaparece tras reiniciar el dispositivo, borrando su rastro.
Campañas de espionaje de actores patrocinados por estados
Su uso se remonta al menos a noviembre de 2025, cuando GTIG detectó que proveedores de vigilancia comerciales y presuntos actores patrocinados por estados emplearon esta herramienta en campañas de espionaje dirigidas a Arabia Saudita, Turquía, Malasia y Ucrania.
Google mencionó al grupo presuntamente ruso UNC6353 como uno de los actores que incorporó DarkSword a sus ataques, tras haber utilizado previamente Coruna en Ucrania.
Algunos hackers dejaron expuesto el código de DarkSword, lo que permitió a los investigadores analizar su funcionamiento y comprender cómo se propaga a través de sitios web infectados.
GTIG informó a Apple sobre estas vulnerabilidades a finales de 2025, y la compañía corrigió todas ellas con el lanzamiento de iOS 26.3. Sin embargo, los usuarios que continúen utilizando versiones afectadas (iOS 18.4 a 18.7) siguen siendo vulnerables. Por ello, se recomienda actualizar a la última versión de iOS.
Asimismo, Google ha añadido los dominios involucrados en la distribución de DarkSword a su servicio de Navegación Segura, protegiendo a los usuarios en tiempo real.
*Con información de Europa Press