Un nuevo método de ataque llamado «DarkSword» tiene de manos atadas a usuarios de iPhone que ejecutan ciertas versiones de iOS 18 mediante la simple visita a un sitio web infectado, exponiendo a cientos de millones de personas a la extracción de sus datos sensibles. La técnica, identificada por el Google Threat Intelligence Group junto a Lookout y iVerify, afecta principalmente a dispositivos que tienen instalado entre iOS 18.4 y 18.6.2, donde el exploit ya fue utilizado en campañas reales.
DarkSword se activa a través de páginas hackeadas que contienen código malicioso capaz de ejecutar una cadena de explotación sin necesidad de que el usuario haga cualquier interacción adicional. Según los análisis, cerca de una cuarta parte de los iPhone del mundo aún utiliza versiones de iOS 18, lo que sin duda amplía la superficie de riesgo.
Alcance técnico y versiones afectadas por DarkSword
La forma de trabajar de este exploit combina seis vulnerabilidades para lograr la ejecución de código y el control del celular, principalmente a través del navegador Safari. Una vez dentro, los atacantes pueden acceder a mensajes, contactos, credenciales almacenadas, archivos de iCloud, historial de ubicación y datos de aplicaciones como iMessage, WhatsApp o Telegram.
Este también puede obtener información financiera, incluidos datos de billeteras de criptomonedas, además de registros de actividad y archivos personales. Los investigadores encontraron distintos módulos posteriores a la intrusión, entre ellos GHOSTBLADE, GHOSTKNIFE y GHOSTSABER, diseñados para recolectar y extraer información.
Aunque una característica central del ataque es su enfoque «fileless», que evita la instalación de software persistente. ¿Qué significa esto? Básicamente que, en su lugar, utiliza procesos legítimos del sistema para ejecutar la intrusión, recopilar datos en pocos minutos y eliminar rastros, incluso tras reiniciar el dispositivo.
Parche en iOS 18.7.2
Los investigadores documentaron el uso de esta técnica desde al menos noviembre de 2025 en campañas dirigidas a usuarios en Ucrania, Arabia Saudita, Turquía y Malasia, en varios casos mediante la infección de sitios web reales que fueron intervenidos. También vincularon su uso a cibercriminales asociados con Rusia.
El análisis indica además que el código del exploit quedó expuesto sin protección en algunos entornos, algo muy malo porque facilita su reutilización por otros malintencionados. Sin duda, este factor incrementa el riesgo de nuevas campañas, incluidas aquellas menos dirigidas.
Ahora lo importante: el informe técnico de Google dice que algunas de las vulnerabilidades explotadas por DarkSword fueron corregidas por Apple a partir de iOS 18.7.2, además de en versiones posteriores del sistema. Nuestra mejor recomendación es que, si no quieres pasar a iOS 26, debes estar al tanto de las últimas versiones publicadas de iOS 18.
Por otro lado, Apple distribuyó actualizaciones de seguridad para corregir las vulnerabilidades subyacentes y lanzó un parche de emergencia para dispositivos que no pueden actualizar a versiones más recientes. Los dispositivos con Lockdown Mode (modo de aislamiento) activado no resultaron afectados por este tipo de ataque.
