💡 Resumen (TL;DR):
- Apple pide a los usuarios instalar las últimas actualizaciones tras el hallazgo de los spywares DarkSword y Coruna.
- Hasta 270 millones de iPhones activos son vulnerables a esta amenaza de robo de datos masivo.
- Los atacantes usaron inteligencia artificial para escribir el código malicioso y robar credenciales sin dejar rastro.
Apple solicitó a los usuarios de iPhone actualizar sus dispositivos de inmediato tras descubrir dos herramientas de espionaje operadas por presuntos agentes de inteligencia rusa y cibercriminales chinos. Investigadores de ciberseguridad revelaron que los kits atacan equipos con software desactualizado mediante tácticas de “watering hole”, comprometiendo sitios web para infectar a los visitantes.
El hallazgo fue publicado por el Threat Intelligence Group de Google, en conjunto con las firmas de seguridad móvil Lookout e iVerify. Según el reporte, un grupo respaldado por Rusia identificado como UNC6353 desplegó estas herramientas principalmente contra objetivos ucranianos, aunque Google también detectó víctimas en Arabia Saudita, Turquía y Malasia.
DarkSword es un malware que ataca iPhones que ejecutan versiones de iOS entre la 18.4 y la 18.7. Su capacidad es profunda: roba contraseñas, fotos, credenciales de carteras de criptomonedas, mensajes de WhatsApp y Telegram, y el historial del navegador. Una vez extraída la información, borra sus propios rastros y desaparece del dispositivo.
La escala del problema es crítica. iVerify calcula que hasta 270 millones de usuarios de iPhone son susceptibles a los exploits. En la misma línea, Lookout confirmó que aproximadamente el 15% de todos los dispositivos iOS activos ejecutan software vulnerable.
El origen militar de Coruna y errores con IA
El kit Coruna es un paquete de hackeo compuesto por 23 elementos técnicos identificado a principios de marzo. Según reportes previos, fue desarrollado originalmente por el contratista de defensa estadounidense L3Harris, pero terminó en manos de espías rusos y criminales chinos.
“Todas las señales apuntan al gobierno ruso”, declaró Rocky Cole, cofundador de iVerify. Por su parte, Justin Albrecht, investigador de Lookout, describió a UNC6353 como “un actor de amenazas bien financiado y conectado que realiza ataques para beneficio financiero y espionaje en alineación con los requisitos de inteligencia rusa”.
Los investigadores notaron que los atacantes utilizaron un modelo de lenguaje grande (LLM) para personalizar el código de los kits, reduciendo la dificultad técnica del ataque. El componente del servidor de DarkSword incluía código generado por inteligencia artificial con comentarios detallados, lo que Albrecht calificó como “mala seguridad operativa para un actor vinculado a un estado”.
Google reportó las vulnerabilidades a Apple a finales de 2025. Los fallos fueron solucionados definitivamente con el lanzamiento de iOS 26.3 en febrero, aunque la mayoría ya se habían mitigado en parches anteriores.
Apple emitió una postura oficial al respecto: “Somos conscientes de un informe de que este problema puede haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos en versiones de iOS anteriores a iOS 26”.
Los expertos recomiendan actualizar el smartphone de inmediato y reiniciarlo regularmente para limpiar cualquier malware residente en la memoria. Para objetivos de alto valor, el Modo Hermético (Lockdown Mode) de Apple sigue siendo la mejor barrera contra este tipo de espionaje.
