DarkSword: el spyware que hackea iPhones sin tocarlos y vacía billeteras de cripto
Investigadores de Google, iVerify y Lookout descubren una cadena de seis exploits que compromete iPhones desde iOS 18.4 hasta 18.7. El ataque no requiere ninguna acción del usuario: basta con visitar una web infectada.
La reputación de seguridad de Apple vuelve a estar bajo presión. Investigadores de Google, iVerify y Lookout han documentado DarkSword, una cadena de explotación sofisticada que compromete iPhones sin que el usuario realice ninguna acción más allá de navegar por la web.
Lo que distingue a DarkSword no es solo su capacidad técnica, sino lo que representa: la maduración de un mercado privado de exploits para iOS que hasta hace poco se consideraba exclusivo de operaciones de inteligencia estatal.
Cómo funciona DarkSword paso a paso
DarkSword opera como una cadena secuencial de seis vulnerabilidades distintas. El punto de entrada es un sitio web comprometido: el simple acto de cargar la página en el navegador desencadena la ejecución del código malicioso, sin clicks, sin descargas, sin alertas visibles para el usuario.
Una vez iniciado el proceso, el exploit eleva sus privilegios progresivamente hasta alcanzar capas profundas del sistema: el kernel de iOS y el motor JavaScriptCore quedan bajo control del atacante. En ese punto, el dispositivo está completamente comprometido.
Rango de exposición: Los investigadores identificaron riesgo crítico en versiones de iOS 18.4 a 18.6.2, con exposición parcial documentada hasta la 18.7. Cualquier iPhone que no haya instalado los parches más recientes de Apple sigue siendo vulnerable.
Justin Albrecht, investigador de Lookout, describe el mecanismo como una "tubería verificada" de exploits que fluye de forma ordenada y confiable hacia el objetivo. No es un ataque oportunista: es ingeniería ofensiva con precisión quirúrgica.
El objetivo financiero: criptomonedas en la mira
Una vez que DarkSword toma control del dispositivo, el siguiente paso es el despliegue de cargas maliciosas especializadas. Las más documentadas son GhostBlade y GhostSaber, diseñadas con un objetivo muy concreto: localizar y vaciar billeteras de criptomonedas almacenadas en el dispositivo.
GhostBlade y GhostSaber no son herramientas de espionaje genérico. Su arquitectura está optimizada para identificar aplicaciones de gestión de criptomonedas, extraer claves privadas y transferir activos sin dejar rastro visible para el propietario del dispositivo.
Este enfoque financiero marca una diferencia fundamental respecto a spyware gubernamental clásico como Pegasus. DarkSword no busca solo escuchar conversaciones o extraer documentos: busca dinero, de forma inmediata y automatizada.
Actores, geopolítica y el mercado gris de exploits
La campaña fue detectada inicialmente en decenas de portales con sede en Ucrania, pero su alcance se extiende a Arabia Saudí, Turquía y Malasia. En estos últimos países, Google vinculó los ataques a PARS Defense, una firma de vigilancia comercial con base en Turquía.
Apenas dos semanas antes de la divulgación de DarkSword, los mismos investigadores habían documentado otro spyware denominado Coruna. El hallazgo crítico: ambas amenazas comparten infraestructura de servidores, lo que apunta a un ecosistema de proveedores de exploits compartido entre múltiples actores.
Perspectiva de la industria: Rocky Cole, directivo de iVerify, señala que el uso descuidado de estas herramientas sugiere que sus operadores ya no las consideran recursos irrepetibles, sino activos fungibles en un mercado de oportunidad. El espionaje de élite se ha convertido en un servicio disponible para quien pueda pagarlo.
Esta convergencia entre el crimen organizado con motivación financiera, los grupos con posibles vínculos estatales y las firmas de vigilancia comercial define el nuevo paisaje de amenazas para iOS: ya no es un objetivo de inteligencia selectivo, sino un mercado.
La respuesta de Apple y el problema real
Apple ha actuado en dos frentes: bloqueó los dominios maliciosos conocidos a través del sistema Safe Browsing de Safari y emitió parches para todas las vulnerabilidades identificadas en la cadena DarkSword. Técnicamente, la solución existe.
El problema es de escala. Se estima que entre 220 y 270 millones de iPhones activos en todo el mundo no han instalado las actualizaciones de seguridad correspondientes. Las razones son variadas: falta de espacio en el dispositivo, conexiones lentas, desconfianza ante cambios de interfaz o simple desidia.
Que el parche exista no significa que el riesgo haya desaparecido. Mientras cientos de millones de dispositivos permanezcan sin actualizar, DarkSword y amenazas similares tienen un universo de objetivos perfectamente accesible. La solución técnica y la protección real son, hoy, dos cosas distintas.
Apple insiste en que mantener el software actualizado es la única defensa eficaz. Es correcto, pero insuficiente como respuesta institucional ante una amenaza de esta magnitud. La brecha entre disponibilidad del parche y su adopción masiva sigue siendo el vector de ataque más rentable del ecosistema iOS.
Conclusión: DarkSword no es solo un nuevo spyware: es la evidencia de que el mercado de exploits para iOS ha alcanzado una madurez que convierte al iPhone en objetivo prioritario del cibercrimen financiero. La arquitectura de Apple sigue siendo sólida, pero la democratización de estas herramientas entre actores comerciales, grupos con vínculos estatales y organizaciones criminales ha cambiado las reglas del juego. Con entre 220 y 270 millones de dispositivos sin parchear, la ventana de ataque permanece abierta. Actualizar iOS no es una recomendación opcional: es la única barrera efectiva disponible ahora mismo.
