- DarkSword explota hasta seis fallos de iOS 18.4–18.7 para tomar el control de iPhones con solo visitar una web legítima comprometida.
- El kit permite robar mensajes, contraseñas, datos de salud y criptomonedas en pocos minutos y borra casi todas las huellas de su actividad.
- Su código se ha filtrado públicamente y es sencillo de reutilizar, lo que multiplica el riesgo de campañas masivas por parte de ciberdelincuentes y actores patrocinados por estados.
- Actualizar a iOS 26 y activar medidas como el Modo Bloqueo es clave para los usuarios europeos que aún siguen en versiones vulnerables.
La reciente revelación de DarkSword como kit de ataque avanzado contra iPhone ha encendido todas las alarmas en el mundo de la ciberseguridad y ha llevado a muchos a consultar cómo saber si mi iPhone fue hackeado. Investigadores de Google, iVerify y Lookout han documentado una campaña que, lejos de ser un caso aislado, muestra cómo las herramientas de espionaje de nivel estatal están pasando al mercado abierto y a operaciones mucho más amplias.
Este conjunto de exploits dirigidos a iOS 18 permite comprometer un iPhone con solo cargar una página web infectada, sin que el usuario tenga que pulsar ningún botón ni instalar nada. El resultado es especialmente preocupante para millones de personas en Europa y España que aún mantienen versiones antiguas del sistema, ya que los atacantes pueden acceder a prácticamente toda la vida digital del dueño del dispositivo, por eso es crucial saber cómo proteger mi iPhone de hackers.
Qué es DarkSword y en qué iPhones funciona
DarkSword es un kit de explotación para iOS capaz de encadenar hasta seis vulnerabilidades de día cero y pasar desde el navegador Safari hasta el propio kernel del sistema. Los informes de Google Threat Intelligence Group (GTIG), iVerify y Lookout detallan que el exploit funciona en versiones de iOS 18 comprendidas entre la 18.4 y la 18.7, lanzadas en 2025 y todavía muy presentes en el parque de iPhone activo. Por ello conviene comprobar qué seguridad tengo en mi iPad o iPhone.
Según las estimaciones de iVerify y Lookout, entre 220 y 270 millones de iPhones en todo el mundo siguen ejecutando estas versiones vulnerables de iOS 18. Eso supone alrededor de una parte relevante de todos los iPhone en uso, con una presencia notable en mercados europeos donde los usuarios suelen alargar la vida útil del terminal antes de renovarlo.
Uno de los elementos más llamativos es que DarkSword no requiere instalar aplicación alguna ni aceptar permisos sospechosos. Todo ocurre cuando el usuario entra en un sitio web legítimo que ha sido comprometido, donde los ciberdelincuentes han incrustado un iframe malicioso con el exploit. En el momento en que la página se carga en el iPhone expuesto, la cadena de ataque se dispara sin más interacción, por eso también es recomendable saber navegar de forma privada en iPhone para reducir riesgos al visitar enlaces desconocidos.
Los investigadores han observado campañas en las que los atacantes usaban webs con temática de Snapchat o portales ucranianos legítimos, incluyendo al menos una página gubernamental. El patrón se repite: páginas aparentemente normales pero manipuladas para cargar el exploit DarkSword en segundo plano, lo que obliga a conocer cómo saber si me espían el iPhone y eliminar todo el spyware.
Cómo funciona el ataque: de Safari al kernel en cuestión de minutos
A nivel técnico, DarkSword representa un salto cualitativo en la explotación de iOS 18. El ataque arranca habitualmente en el motor WebKit del navegador, donde se aprovecha la primera vulnerabilidad para ejecutar código. A partir de ahí, el kit va escalando privilegios hasta ganar control sobre procesos legítimos del sistema y, finalmente, alcanzar el kernel.
Este enfoque hace posible un comportamiento de tipo fileless: en lugar de dejar instalado un spyware persistente, el exploit se cuela dentro de procesos del sistema ya existentes. Mientras se ejecuta, extrae información masiva del dispositivo y, al terminar, elimina sus ficheros temporales para borrar casi todo rastro, de modo similar a ciertas técnicas avanzadas vistas en malware para Windows; por ello es importante saber cómo saber si mi iPhone está hackeado.
Los informes publicados indican que DarkSword despliega hasta tres familias de malware distintas, denominadas GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. En uno de los escenarios descritos, GHOSTBLADE se ejecuta como un ladrón de datos basado en JavaScript centrado en aplicaciones de criptomonedas y servicios financieros, lo que refuerza la idea de que el objetivo va más allá del mero espionaje clásico.
En cuestión de pocos minutos el kit puede capturar y transmitir un volumen muy amplio de información, apagarse y desaparecer con el siguiente reinicio del iPhone. Esta combinación de rapidez, ausencia de instalación visible y uso de procesos legítimos complica muchísimo la detección, incluso para usuarios avanzados o empresas que monitorizan sus dispositivos.
Qué datos puede robar DarkSword de un iPhone
La capacidad de exfiltración de datos de DarkSword es especialmente amplia. Los análisis de Lookout y otros especialistas apuntan a que el exploit está diseñado para aspirar prácticamente cualquier información valiosa almacenada en el teléfono o accesible a través de las apps instaladas.
Entre los datos que este kit puede obtener se incluyen mensajes de iMessage, WhatsApp y Telegram, SMS, registros de llamadas, historiales de navegación en Safari y cookies de sesión. A esto se suma el acceso a calendarios, notas, contactos, datos de la app Salud, información de la tarjeta SIM y ubicación, un conjunto suficientemente detallado como para reconstruir buena parte de la vida personal y profesional del usuario; en caso de compromiso conviene saber cómo recuperar una cuenta de WhatsApp hackeada.
El interés de DarkSword por el ámbito financiero es también evidente. Los investigadores han observado búsquedas activas de credenciales de monederos de criptomonedas y de las principales aplicaciones de intercambio como Coinbase, Binance, Kraken, KuCoin, OKX o MEXC. También se han identificado intentos de rastrear carteras como Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom o Gnosis Safe, lo que encaja con campañas de robo de criptoactivos vistas en los últimos años; por eso es recomendable verificar contraseñas comprometidas en iPhone con regularidad.
Además, el exploit puede obtener contraseñas de redes WiFi, datos de ubicación detallados y fotos, así como información almacenada en cuentas de iCloud vinculadas al dispositivo. Aunque DarkSword no parece orientado a la vigilancia constante a largo plazo, su capacidad de «barrido rápido» de datos en una única sesión resulta suficiente para causar un daño considerable, desde chantajes hasta vaciar billeteras digitales; en ese escenario conviene cambiar la contraseña en iPhone lo antes posible.
Quién está utilizando DarkSword y contra qué objetivos
La investigación conjunta de Google, iVerify y Lookout sitúa a DarkSword en un contexto donde se difuminan las fronteras entre espionaje estatal y cibercrimen puro y duro. En las primeras oleadas detectadas, los ataques se dirigieron principalmente a objetivos en Arabia Saudí, Turquía, Malasia y Ucrania, empleando webs comprometidas y clones de sitios populares.
Google ha vinculado parte de esta actividad al grupo presuntamente ruso UNC6353, que anteriormente ya habría utilizado otro kit de exploits conocido como Coruna contra objetivos ucranianos. En el caso de DarkSword, se han observado también campañas relacionadas con proveedores comerciales de vigilancia, entre ellos un actor turco que habría suministrado capacidades similares a clientes de la región.
El patrón de uso sugiere que la herramienta ha pasado por varias manos: de clientes gubernamentales a espías vinculados a Rusia y, posteriormente, a grupos de ciberdelincuentes, entre ellos operadores chinos que en ocasiones aprovecharon infraestructuras similares para montar webs falsas de criptomonedas y robar carteras digitales. Esa mezcla de intereses políticos y económicos hace que el impacto potencial sea muy amplio, tanto para particulares como para empresas.
En Europa, aunque la mayor parte de campañas documentadas se han concentrado en otros territorios, la reutilización de código y la publicación de los exploits en abierto disparan el riesgo de que surjan nuevas operaciones centradas en usuarios comunitarios, incluidas figuras públicas, periodistas, activistas o perfiles con alta exposición financiera.
La filtración del código en GitHub: el punto de inflexión
Si la primera ola de ataques con DarkSword ya generaba inquietud, la filtración de una versión actualizada del exploit en GitHub ha elevado la preocupación de investigadores y proveedores de seguridad. iVerify ha confirmado que el código publicado corresponde a una variante reciente de DarkSword, con pequeñas modificaciones, pero utilizando la misma infraestructura fundamental.
Lo que más sorprende a los expertos es la sencillez del material difundido. El repositorio contiene principalmente código HTML y JavaScript, acompañado de comentarios que explican de forma bastante clara cómo se encadenan las vulnerabilidades y cómo se debe desplegar el exploit. Según los investigadores, cualquiera con unos conocimientos básicos de servidores web puede copiar y alojar el código en cuestión de minutos u horas.
Matthias Frielingsdorf, cofundador de iVerify, ha calificado la filtración de «grave» precisamente porque el exploit es demasiado fácil de reutilizar. En su opinión, ya no se trata solo de una herramienta en manos de grupos altamente especializados, sino de un recurso que puede ser adoptado por actores oportunistas con motivaciones puramente económicas o incluso por individuos con escasa experiencia técnica.
Desde Google, portavoces de GTIG comparten esa preocupación y consideran que es razonable anticipar un aumento de campañas basadas en DarkSword aprovechando el código filtrado. Aunque algunos medios han decidido no publicar enlaces directos al repositorio para no fomentar su uso, el simple hecho de que circule por espacios públicos y privados de desarrolladores complica cualquier intento de control.
Respuesta de Apple y situación actual de los parches
Apple fue informada por Google de las vulnerabilidades utilizadas por DarkSword a finales de 2025 y, desde entonces, ha ido publicando actualizaciones para cerrar los agujeros de seguridad. La compañía ha indicado que las debilidades explotadas por el kit están corregidas por completo en iOS 26.3 y versiones posteriores, como la reciente 26.3.1 centrada en reforzar la protección.
Para los dispositivos que no pueden migrar a las versiones más recientes, Apple también ha lanzado parches de emergencia específicos para variantes de iOS 18 vulnerables. Sin embargo, la empresa insiste en que la opción más segura sigue siendo actualizar al último iOS disponible cuando el hardware lo permita, ya que las actualizaciones menores de seguridad no siempre alcanzan el mismo nivel de protección integral.
Portavoces de la compañía han subrayado que, con el software al día, los iPhone no deberían estar expuestos a DarkSword ni a las cadenas de explotación conocidas relacionadas con este kit. Además, Apple recuerda la existencia de capas adicionales de defensa como el Modo Bloqueo (Lockdown Mode), pensado para usuarios de alto riesgo y que limita considerablemente la superficie de ataque.
Pese a ello, la adopción de las últimas versiones de iOS no está siendo tan rápida como en ciclos anteriores. Algunas críticas al rediseño de la interfaz introducida recientemente, más allá de Estados Unidos, han provocado que una parte de los usuarios europeas hayan demorado la actualización completa a iOS 26, quedándose en ramas intermedias como iOS 18. Ese retraso en la modernización del sistema se traduce, de facto, en una ventana de ataque mucho mayor para DarkSword.
Recomendaciones prácticas para usuarios en España y Europa
Ante un escenario en el que exploits de nivel gubernamental circulan libremente y se reutilizan en campañas criminales, la protección ya no depende solo de lo que hagan Apple o los grandes proveedores de seguridad. Los propios usuarios, tanto particulares como empresas, tienen un papel clave en reducir el riesgo.
La primera medida, quizá obvia pero esencial, es verificar en qué versión de iOS se encuentra el iPhone. Desde Ajustes > General > Información se puede comprobar el número de versión, y en Ajustes > General > Actualización de software se muestran las nuevas versiones disponibles. Si el dispositivo sigue en iOS 18.4-18.7 y soporta iOS 26, es prioritario dar el salto.
Para quienes utilicen modelos más antiguos que no admiten la última versión, hay que instalar como mínimo las actualizaciones de seguridad que Apple ha liberado de emergencia. Estas no sustituyen al sistema principal, pero sí reducen significativamente la exposición a DarkSword y a otros exploits similares que se aprovechan de fallos críticos.
En el caso de perfiles especialmente sensibles —periodistas de investigación, cargos públicos, profesionales con acceso a información confidencial o usuarios con grandes volúmenes de criptomonedas—, los expertos recomiendan activar el Modo Bloqueo desde Ajustes > Privacidad y seguridad. Esta función endurece el sistema restringiendo determinadas funciones avanzadas, lo que dificulta la ejecución de cadenas complejas de exploits.
Además de mantener el sistema actualizado, conviene extremar la cautela con enlaces y webs aparentemente inofensivas. Aunque DarkSword ha demostrado que puede esconderse en páginas legítimas comprometidas, es más probable encontrarlo en sitios poco conocidos, clones de plataformas populares o contenidos relacionados con inversiones, criptomonedas y descargas no oficiales; una medida adicional es aprender a ocultar la IP en iPhone cuando se investiga contenido de riesgo.
El papel de Google y otros actores en la mitigación
Google no solo ha participado en la investigación técnica, sino que también ha movido ficha para mitigar la exposición de los usuarios a sitios que distribuyen DarkSword. La compañía ha añadido los dominios identificados en estas campañas a su servicio de Navegación segura (Safe Browsing), que permite mostrar advertencias en navegadores compatibles cuando el usuario intenta acceder a una página peligrosa.
Esta medida es especialmente relevante en Europa, donde buena parte de la población utiliza Chrome o navegadores que se apoyan en la lista de dominios maliciosos de Google. No obstante, conviene tener presente que los operadores de DarkSword pueden migrar a nuevos dominios o infraestructuras, de modo que el filtrado automático nunca será una protección absoluta.
Otras empresas de ciberseguridad, como iVerify y Lookout, han comenzado a integrar detecciones específicas en sus soluciones para iOS, orientadas tanto a organizaciones como a usuarios finales avanzados. Aunque el propio sistema operativo limita el grado de análisis que pueden realizar estas herramientas, sirven como capa adicional de monitorización y alerta temprana ante comportamientos anómalos.
En paralelo, la comunidad de investigadores independientes está siguiendo muy de cerca la evolución del código filtrado en GitHub. Varios expertos coinciden en que, a medida que más actores modifiquen y reempaqueten DarkSword, podrían surgir nuevas variantes capaces de eludir parte de las contramedidas actuales, lo que hace aún más importante mantener el dispositivo actualizado y aplicar buenas prácticas de seguridad digital.
A día de hoy, DarkSword ilustra hasta qué punto la seguridad de un iPhone depende de la combinación entre parches oficiales y hábitos responsables de los usuarios. Un exploit concebido para operaciones de alto nivel ha terminado al alcance de casi cualquiera, y su capacidad para robar mensajes, contraseñas y criptomonedas con una simple visita a una web obliga a tomarse las actualizaciones de iOS mucho más en serio: mantener el teléfono al día, activar las funciones avanzadas de protección cuando sea necesario y desconfiar de páginas dudosas se han convertido, para muchos usuarios europeos, en la mejor forma de seguir usando su iPhone con cierta tranquilidad.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.