Filtran una versión actualizada de DarkSword en GitHub: el ‘exploit’ que roba datos en iPhone accesible para cualquiera
MADRID, 24 Mar. –
Una versión actualizada del ‘exploit’ dirigido a dispositivos iPhone conocido como DarkSword se ha filtrado en el repositorio de código de GitHub, de manera que está disponible de forma pública y cualquiera puede utilizarlo para atacar a usuarios de iPhone que utilicen versiones antiguas de iOS 18 y robar todos sus datos.
DarkSword es una herramienta maliciosa dirigida a iPhone, que aprovecha hasta seis vulnerabilidades de día cero en las versiones de sistema operativo comprendidas desde iOS 18.4 a iOS 18.7, para robar los datos del dispositivo con solo visitar una página web. Esto incluye desde mensajes de texto, historial de llamadas, ubicación o billeteras de criptomonedas.
Así, este ‘exploit’ consigue controlar los procesos legítimos del sistema operativo del iPhone, robar datos en minutos y, una vez finalizada su actividad, eliminar su rastro, tal y como dio a conocer la semana pasada el Grupo de Inteligencia de Amenazas de Google (GTIG) junto a las firmas de ciberseguridad iVerify y Lookout.
Ahora, el código del ‘exploit’ DarkSword se ha filtrado y expuesto a través del repositorio GitHub de forma pública, por lo que cualquier actor malicioso puede adoptar fácilmente las herramientas maliciosas y utilizarlas para atacar a otros usuarios de iPhone que continúen utilizando las versiones de iOS 18 vulnerables.
Concretamente, según han corroborado investigadores de iVerify y ha trasladado el cofundador de la ‘startup’ de ciberseguridad, Matthias Frielingsdorf, en declaraciones a TechCrunch, el ‘exploit’ compartido en GitHub es una versión actualizada de DarkSword y comparte la misma infraestructura que el ‘exploit’ analizado anteriormente, aunque los archivos están modificados ligeramente.
Según el investigador y como ha podido comprobar el medio citado, que no ha compartido el enlace al código para evitar promover su uso, los archivos de GitHub se basan en código HTML y JavaScript sencillo, acompañado de descripciones sobre el funcionamiento de las vulnerabilidades y cómo se aprovecha de las mismas.
Esta sencillez facilita que cualquiera pueda copiar el código y alojarlo en un servidor «en cuestión de minutos u horas». Como resultado, el ‘exploit’ funcionará sin necesidad de conocimientos avanzados de iOS para atacar a las personas y robar sus datos.
En este marco, Frielingsdorf ha valorado que la filtración de este código es «grave» por que es «demasiado fácil de reutilizar«. «No creo que esto se pueda controlar» ha sentenciado, al tiempo que ha alertado que se debe prever que los actores maliciosos comenzarán a utilizar el ‘exploit’.
De la misma forma se ha pronunciado el portavoz de Google Kimberly Samra, en declaraciones a TechCrunch, que ha alegado que los investigadores de GTIG también consideran este escenario como peligroso.
Algunos usuarios ya han comprobado la facilidad de adoptar este ‘exploit’, como es el caso del usuario llamado Matteyeux, quien ha compartido en una publicación en X como, utilizando el código filtrado en GitHub de DarkSword, ha logrado permisos de lectura y escritura a nivel de Kernel en un iPad mini de sexta generación con iOS 18.6.2.
Got kernel R/W on an iPad mini 6th gen running iOS 18.6.2 using the in the wild exploit chain darksword pic.twitter.com/zT2mc8TvbM
— matteyeux (@matteyeux) March 23, 2026
NECESARIO ACTUALIZAR A IOS 26
Teniendo todo ello en cuenta, los expertos han apuntado que ahora es aún más necesario que los usuarios actualicen el sistema operativo a iOS 26, donde ya están corregidas las vulnerabilidades que permiten actuar a la herramienta maliciosa.
En el momento de la investigación inicial de DarkSword, iVerify detalló que las versiones de iOS 18 afectadas todavía se ejecutan en hasta 270 millones de dispositivos a nivel global. Al respecto, la portavoz de Apple, Sarah O’Rourke, ha trasladado al citado medio que están al tanto de la vulnerabilidad y que ya el pasado miércoles 11 de marzo emitieron una actualización de emergencia para los dispositivos que no pueden actualizarse a las versiones más recientes de iOS.
Así O’Rourke ha asegurado que con el ‘software’ actualizado los equipos iPhone no corren peligro y que, además también disponen de capas adicionales de seguridad como el Modo Bloqueo, que también evita este tipo de ataques.
Cabe recordar que, en el momento de identificar este ‘exploit’, los investigadores observaron que había sido utilizado por parte de proveedores de vigilancia comerciales y presuntos actores patrocinados por estados en distintas campañas de espionaje.
Concretamente, se identificó el uso de DarkSword contra objetivos en Arabia Saudita, Turquía, Malasia y Ucrania, por ejemplo, por el grupo presuntamente ruso identificado como UNC6353. Sin embargo, al estar expuesto de forma pública, su peligro se incrementa dado que cualquier actor malicioso puede utilizarlo para robar datos para sus propios fines.
CL24
