Basta con visitar una página web comprometida para que un iPhone quede completamente expuesto. Sin descargas, sin avisos, sin interacción adicional. Solo una carga de página en Safari y, en cuestión de minutos, mensajes, fotos, contraseñas, historiales de apps como Telegram o incluso claves de criptomonedas pueden acabar en manos de un atacante. Después, todo rastro desaparece. Ese es el nivel de sofisticación de DarkSword, un nuevo exploit descubierto por investigadores de seguridad y que ya ha sido utilizado en campañas reales en varios países.
Un ataque invisible que no deja huella
El hallazgo ha sido presentado de forma conjunta por el Google Threat Intelligence Group (GTIG), la firma de seguridad móvil Lookout y la compañía iVerify. Cada uno había detectado piezas del mismo rompecabezas, que finalmente encajan en lo que ahora se conoce como DarkSword.
Lo más preocupante no es solo su capacidad, sino su diseño. A diferencia del malware tradicional, no instala archivos visibles ni deja rastros clásicos en el sistema. Todo ocurre en memoria, ejecutado en JavaScript desde el propio navegador.
En la práctica, esto significa que el usuario no percibe nada extraño. No hay apps sospechosas, ni alertas, ni comportamientos evidentes. El ataque comienza y termina en cuestión de minutos.
De Ucrania al resto del mundo
Las primeras campañas detectadas se remontan a noviembre de 2025. Según los investigadores, DarkSword ha sido utilizado contra objetivos en Ucrania, Arabia Saudí, Turquía y Malasia.
El punto de entrada en Ucrania resulta especialmente revelador: dos páginas web legítimas, incluyendo un sitio gubernamental, fueron comprometidas para incluir un código malicioso invisible. Al cargar la web, el iPhone de la víctima ejecutaba automáticamente el exploit.
Además, los atacantes aplicaron una técnica de geolocalización (geofencing), de forma que solo los dispositivos con direcciones IP específicas recibían la carga maliciosa. Esto reduce el riesgo de detección y permite que la campaña pase desapercibida durante más tiempo.
Seis vulnerabilidades, un control total
El poder de DarkSword reside en la combinación de seis vulnerabilidades distintas dentro de iOS. Cada una desbloquea una fase del ataque hasta lograr el control completo del dispositivo.
El proceso comienza con fallos en el motor JavaScript de Safari, que permiten ejecutar código de forma remota simplemente visitando una web. A partir de ahí, el exploit rompe las barreras de seguridad del sistema, escala privilegios y acaba obteniendo acceso al núcleo del sistema operativo (kernel).
Este nivel de acceso permite al atacante moverse libremente por el dispositivo, acceder a procesos protegidos y extraer información sin restricciones.
Qué datos puede robar
La lista de datos comprometidos es prácticamente total. DarkSword puede acceder a mensajes SMS e iMessage, historial de llamadas y contactos, contraseñas WiFi y credenciales guardadas, historial de navegación y cookies, ubicación y datos de salud, fotos y archivos de iCloud, correos electrónicos, chats de WhatsApp y Telegram o a la lista de aplicaciones instaladas.
Pero hay un detalle especialmente llamativo: también apunta directamente a billeteras de criptomonedas como Coinbase, Binance o MetaMask. Esto sugiere que, además del espionaje, existe una motivación económica detrás de algunas campañas.
Apple ya ha parcheado el problema
Las seis vulnerabilidades explotadas por DarkSword ya han sido corregidas por Apple en distintas actualizaciones recientes. La solución completa se encuentra en versiones recientes del sistema, como iOS 18.7.3 y posteriores.
Sin embargo, el problema radica en la ventana de exposición. Entre los primeros ataques detectados y la corrección total, pasaron aproximadamente cuatro meses en los que millones de dispositivos pudieron estar en riesgo al no detectarse.
Para quienes no puedan actualizar de inmediato, Apple recomienda activar el “modo aislamiento” (Lockdown Mode), que reduce la superficie de ataque del dispositivo.
