Investigadores de ciberseguridad de Google, en colaboración con las firmas iVerify y Lookout, han emitido una advertencia sobre un nuevo tipo de software malicioso denominado DarkSword. Este spyware está diseñado para operar en dispositivos iPhone que utilizan las versiones de iOS 18, específicamente entre la 18.4 y la 18.7. Su capacidad para robar información sensible simplemente al visitar una página web infectada plantea un riesgo significativo para una amplia base de usuarios, que se estima en 270 millones de dispositivos en todo el mundo.
DarkSword se distingue por su sofisticada técnica de ataque. A diferencia de otros tipos de malware, no requiere que se instalen archivos en el dispositivo de la víctima. En lugar de ello, explota hasta seis vulnerabilidades de día cero en el sistema operativo iOS para ejecutar sus acciones. El spyware logra infiltrarse en los procesos legítimos del sistema, lo que le permite robar datos valiosos en cuestión de minutos, y lo más preocupante es que puede eliminar cualquier rastro de su actividad una vez completada.
En un informe detallado, el Grupo de Inteligencia de Amenazas de Google (GTIG) describe que DarkSword despliega tres tipos de malware diferentes: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. Estos componentes reflejan un kit de exploits conocido como Coruna, que fue recientemente actualizado. Este descubrimiento pone de manifiesto la continua evolución de las amenazas cibernéticas, donde los atacantes emplean métodos cada vez más sofisticados para comprometer la seguridad de los dispositivos móviles.
Los investigadores han señalado que para que el ataque de DarkSword tenga éxito, el usuario solo necesita acceder a un sitio web específico que esté comprometido. Estos sitios, aunque pueden parecer legítimos, contienen un iframe que aloja el código malicioso. Una vez que el iPhone carga la página, el spyware comienza su ataque sin necesidad de que el usuario realice ninguna acción adicional. Por ejemplo, en uno de los incidentes documentados en noviembre, se utilizó un sitio web relacionado con la popular red social Snapchat como vector de ataque.
La operación de DarkSword es insidiosa. Comienza en el nivel de Webkit, el motor de navegación de iOS, y desciende hasta el núcleo del sistema operativo, comprometiendo el dispositivo de manera integral. Durante este proceso, el spyware recopila una amplia variedad de datos sensibles, que incluyen contraseñas de redes WiFi, mensajes de texto, historial de llamadas, ubicación geográfica, información de la tarjeta SIM y datos de billeteras de criptomonedas. La velocidad y la eficiencia con que se lleva a cabo este proceso son alarmantes, ya que puede completarse en cuestión de minutos.
Una de las características más preocupantes de DarkSword es su capacidad para borrar su huella. Al no requerir instalación de archivos, el spyware puede eliminarse de manera efectiva al reiniciar el dispositivo, lo que dificulta la detección por parte de los usuarios y los sistemas de seguridad. Este aspecto plantea serias preguntas sobre la seguridad de los dispositivos iOS y la efectividad de las defensas actuales contra este tipo de amenazas.
Por último, es importante señalar que el uso de herramientas como DarkSword está relacionado con campañas de espionaje que presuntamente son patrocinadas por Estados. Desde noviembre de 2025, el GTIG ha identificado que varios proveedores de vigilancia comercial han estado utilizando este tipo de software para llevar a cabo actividades de espionaje. La naturaleza de estas herramientas y su capacidad para comprometer la seguridad de millones de dispositivos subraya la urgente necesidad de que los usuarios de iPhone se mantengan informados y adopten medidas de precaución adecuadas para proteger su información personal.
