Descubren DarkSword: el malware que amenaza millones de iPhone

Descubren DarkSword: el malware que amenaza millones de iPhone

Investigadores descubren DarkSword, un malware que ataca a millones de usuarios de iPhone para robar criptomonedas y contraseñas de forma silenciosa.

Por Humberto Toledo el 18 marzo, 2026 a las 13:04

💡 Resumen (TL;DR):

  • Investigadores de seguridad expusieron un ataque silencioso que infecta iPhones a través del navegador Safari.
  • El malware amenaza a cerca de 270 millones de usuarios que ejecutan versiones de iOS 18.4 a 18.7.
  • Los atacantes roban contraseñas, chats y billeteras de criptomonedas antes de borrar su propio rastro en minutos.

Lookout Threat Labs, el Grupo de Inteligencia de Amenazas de Google e iVerify revelaron DarkSword, una agresiva cadena de exploits para iPhone. Este malware compromete los smartphones de Apple de forma silenciosa con solo visitar una página web en Safari, con el objetivo de extraer datos personales y financieros sin que el usuario note la intrusión.

El ataque apunta específicamente a dispositivos que ejecutan desde la versión iOS 18.4 hasta iOS 18.7. A través de seis vulnerabilidades diferentes, el código escapa de las restricciones de seguridad del navegador y escala privilegios hasta el kernel de iOS para inyectar código malicioso directamente en el sistema.

iVerify calcula que hasta 270 millones de usuarios son susceptibles a esta amenaza. Por su parte, Lookout detalló que esto representa cerca del 15% de todos los dispositivos de Apple actualmente en uso activo.

Una vez que logra el acceso, DarkSword recolecta historiales de ubicación, contraseñas, SMS, fotos, datos de iCloud y bases de datos enteras de WhatsApp y Telegram. También rastrea y extrae billeteras de criptomonedas en apps como Coinbase y Binance. Tras el robo, ejecuta un sistema rápido de borrado para eliminar sus archivos temporales y evadir cualquier detección.

Ilustración editorial de un iPhone siendo atacado por dos espadas oscuras, con iconos de datos disolviéndose en humo.
Ilustración editorial de un iPhone siendo atacado por dos espadas oscuras, con iconos de datos disolviéndose en humo.

Origen de los ataques y parches de seguridad

Los especialistas rastrearon la operación de DarkSword hasta UNC6353, un grupo de atacantes rusos vinculado anteriormente a la campaña del exploit Coruna. Google detectó la distribución del código desde noviembre de 2025 mediante dominios ucranianos comprometidos.

  • Los cibercriminales utilizaron inteligencia artificial y modelos de lenguaje grande (LLMs) para programar funciones secundarias del malware.
  • La campaña registró víctimas directas en Ucrania, Arabia Saudita, Turquía y Malasia.
  • El grupo adquirió esta sofisticada herramienta comercial probablemente a través de Operation Zero, un bróker de exploits ruso.

Apple ya solucionó estas fallas de seguridad tras los reportes que envió Google a finales de 2025. Todas las vulnerabilidades fueron corregidas definitivamente a partir de la versión iOS 26.3.

Las firmas de ciberseguridad urgen a las empresas y usuarios a actualizar de inmediato a iOS 18.7.3 o iOS 26.3. Si el hardware es antiguo y ya no recibe soporte oficial, la recomendación principal es activar el Modo Hermético (Lockdown Mode) en la configuración del teléfono.

“El malware móvil avanzado ha dejado de ser una herramienta empuñada exclusivamente por los gobiernos para el espionaje y ahora está en manos de grupos que buscan ganancias financieras”, señaló Justin Albrecht, director global de inteligencia de amenazas móviles en Lookout.

FUENTE

Más de Tecnología