Google alerta sobre DarkSword: el ‘spyware’ que roba datos de iPhones con iOS 18 tras visitar sitios web infectados
MADRID, 19 Mar. –
Investigadores de ciberseguridad de Google, junto con iVerify y Lookout, han alertado sobre un nuevo ‘exploit’ dirigido a dispositivos iPhone llamado DarkSword, un ‘spyware’ que aprovecha vulnerabilidades de iOS 18 para robar los datos del ‘smartphone’ con solo visitar una página web, con lo que podría afectar a millones de usuarios que aún utilizan estas versiones de sistema operativo.
Esta nueva herramienta maliciosa es capaz de actuar sin necesidad de instalar archivos o llevar a cabo otro tipo de intrusiones, en su lugar, aprovecha hasta seis vulnerabilidades de día cero para comprometer los dispositivos completamente. De esta forma, consigue controlar los procesos legítimos del sistema operativo del iPhone, robar datos en minutos y, una vez finalizada su actividad, eliminar su rastro.
Así lo ha detallado el Grupo de Inteligencia de Amenazas de Google (GTIG) en un informe conjunto con las firmas de ciberseguridad iVerify y Lookout, en el que han matizado que con el ataque de DarkSword se despliegan tres familias de ‘malware’ distintas, como son GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, reflejando el kit de ‘exploits’ Coruna para iOS corregido recientemente.
En concreto, DarkSword es compatible con las versiones de sistema operativo comprendidas desde iOS 18.4 a iOS 18.7 y, según iVerify, estas versiones lanzadas en 2025 todavía se ejecutan en hasta 270 millones de dispositivos a nivel global, lo que deja ver el riesgo que puede suponer para los usuarios actualmente.
ROBO DE DATOS CON SOLO VISITAR UNA WEB INFECTADA
Como han explicado los investigadores, para que los actores maliciosos desplieguen el ataque DarkSword en el iPhone de la víctima, basta con que el usuario visite un sitio web concreto.
Estos sitios web son páginas legítimas infectadas con el ‘iframe’ malicioso con DarkSword incrustado por los ciberdelincuentes, por lo que, una vez se carga la página en el iPhone, comienza a desplegarse el ataque, sin necesidad de ninguna otra intervención por parte del usuario. Por ejemplo, en uno de los ataques identificados en noviembre, el actor malicioso utilizó un sitio web con temática de la red social Snapchat.
La herramienta logra acceder al dispositivo utilizando los procesos del sistema de forma legítima, comenzando a nivel de Webkit y descendiendo hasta el kernel para, finalmente, comprometer el iPhone por completo. Como resultado, recopila datos de forma masiva, incluyendo contraseñas de WiFi, mensajes de texto, historial de llamadas, ubicación, datos de la tarjeta SIM y la billetera de criptomonedas, entre otros datos sensibles.
Todo ello se lleva a cabo en apenas unos minutos y, dado que no requiere la instalación de ningún archivo, una vez ha finalizado, desaparece al reiniciar el dispositivo borrando su rastro.
CAMPAÑAS DE ESPIONAJE DE ACTORES PATROCINADOS POR ESTADOS
El uso de esta herramienta maliciosa se remonta a, al menos, noviembre de 2025, cuando desde GTIG observaron que varios proveedores de vigilancia comerciales y presuntos actores patrocinados por estados utilizaron DarkSword en distintas campañas de espionaje, contra objetivos en Arabia Saudita, Turquía, Malasia y Ucrania.
Google se ha referido al grupo presuntamente ruso UNC6353 como uno de los actores maliciosos que ha incorporado DarkSword a sus campañas de ataque, tras haber utilizado Coruna anteriormente contra objetivos en Ucrania.
Sin embargo, gracias a que algunos de los ‘hackers’ dejaron el código de DarkSword expuesto, los investigadores de seguridad han podido identificar el funcionamiento de la herramienta, accesible a través de las webs infectadas.
Con todo ello, se ha de tener en cuenta que GTIG ya informó a Apple sobre estas vulnerabilidades utilizadas en los ataques DarkSword a finales del pasado año 2025 y, por su parte, Apple las corrigió al completo con el lanzamiento de iOS 26.3.
Sin embargo, aquellos usuarios que continúen utilizando las versiones afectadas de iOS 18.4 a iOS 18.7 siguen siendo vulnerables a estos ataques, por lo que se recomienda actualizar los dispositivos a la última versión de iOS. Asimismo, Google ha señalado que ha añadido los dominios involucrados en la distribución de DarkSword al servicio de Navegación segura para proteger al usuario en tiempo real.
CL24
