DarkSword: el arma rusa que hackea iPhones con iOS 18 solo con visitar una web

Basta con cargar una página. Sin tocar nada. Sin descargar nada. En cuestión de minutos, DarkSword ya ha extraído contraseñas, mensajes, fotos, historial del navegador y credenciales de carteras de criptomonedas de un iPhone —y ha borrado todo rastro de su presencia antes de que el usuario apague la pantalla. Así opera el kit de explotación que Google, Lookout e iVerify han identificado esta semana como una de las amenazas más sofisticadas documentadas contra dispositivos de Apple.

LOS HECHOS: QUIÉN, CÓMO Y DESDE CUÁNDO

Los equipos de investigación de Google, iVerify y Lookout analizaron conjuntamente los ciberataques contra usuarios en Ucrania y atribuyeron la operación al grupo identificado como UNC6353. Google describe a UNC6353 como un actor de espionaje respaldado por el Estado ruso, aunque las motivaciones del grupo mezclan vigilancia con objetivos financieros. La actividad registrada indica que UNC6353 comenzó a desplegar DarkSword contra objetivos ucranianos en diciembre de 2025, en ataques de tipo watering hole con sitios comprometidos que distribuyen el malware GHOSTBLADE, y la operación se prolongó hasta marzo de 2026.

El mecanismo es elegantemente destructivo. DarkSword ataca el navegador Safari a través de un archivo HTML malicioso incrustado en un sitio comprometido; ese archivo descarga un JavaScript que, a su vez, instala una carga útil que aprovecha una vulnerabilidad de corrupción de memoria en JavaScriptCore —el componente de Safari responsable de ejecutar el código JavaScript de las páginas web— y un bypass de los Pointer Authentication Codes (PAC), la capa de protección diseñada para detectar manipulaciones en la memoria del dispositivo.

UNA CADENA DE SEIS VULNERABILIDADES PARA TOMAR EL CONTROL TOTAL

DarkSword encadena seis vulnerabilidades que afectan a iOS 18: CVE-2025-31277 y CVE-2025-43529, dos fallos JIT en el proceso WebContent que permiten lectura y escritura arbitraria en memoria; CVE-2026-20700, que habilita la ejecución de código con privilegios elevados; CVE-2025-14174, una escritura fuera de límites en ANGLE que permite escapar del sandbox de Safari a través del proceso GPU; y CVE-2025-43510 y CVE-2025-43520, que encadenan una escalada de privilegios hasta el kernel de iOS.

Eso significa control completo del dispositivo. Con ese nivel de acceso, los atacantes pueden leer mensajes y datos almacenados, rastrear la ubicación, acceder a fotos y archivos, y potencialmente activar el micrófono o la cámara. La cadena de explotación comenzó en Safari y terminó con el control total del kernel.

Lo que diferencia a DarkSword de otras herramientas de spyware convencional es precisamente su carácter fugaz. No instala persistencia en el dispositivo. En cambio, utiliza técnicas propias del malware fileless: secuestra procesos legítimos del sistema operativo para extraer los datos en cuestión de minutos, sin dejar rastro. Un simple reinicio elimina la infección, aunque para entonces el daño ya está hecho. "Smash-and-grab", lo llaman los investigadores de iVerify. Entrar, robar y desaparecer.

UCRANIA COMO LABORATORIO. PERO LA EXPOSICIÓN ES GLOBAL

DarkSword afecta a los iPhones que ejecutan iOS 18 —la versión previa al actual iOS 26—, y según Apple, aproximadamente una cuarta parte de todos los dispositivos iPhone en uso todavía corren sobre esa versión, lo que deja cientos de millones de terminales potencialmente expuestos. iVerify estima que hasta 270 millones de usuarios de iPhone podrían ser vulnerables; Lookout cifra en torno al 15% de todos los dispositivos iOS activos los que aún ejecutan iOS 18 o versiones anteriores.

La campaña ucraniana fue deliberadamente indiscriminada. El malware estaba diseñado para infectar a cualquier persona que visitara ciertos sitios ucranianos desde dentro de Ucrania, sin importar quién fuera. Pero DarkSword no se quedó en Ucrania. Despliegues anteriores alcanzaron usuarios en Arabia Saudí, Turquía y Malasia, con evidencias de que el proveedor de vigilancia comercial turco PARS Defense fue uno de los clientes del kit.

EL ERROR DE OPSEC QUE LO CAMBIÓ TODO

Aquí la historia adquiere una dimensión que va mucho más allá de un ciberataque estatal convencional. En un fallo operativo de envergadura, los hackers rusos dejaron el código completo de DarkSword accesible públicamente en los sitios comprometidos, con comentarios explicativos en inglés que detallaban el funcionamiento de cada componente e incluían el propio nombre de la herramienta. "Cualquiera que recogiera todas las partes podría montarlas en su propio servidor web y empezar a infectar teléfonos", advirtió Matthias Frielingsdorf, investigador de iVerify.

Y el código, según Lookout, lleva marcas de haber sido desarrollado con asistencia de modelos de lenguaje de gran escala. Tanto Coruna como DarkSword exhiben signos de expansión de código asistida por LLM, algo particularmente visible en el caso de DarkSword, que contiene múltiples comentarios que explican la funcionalidad del código —lo que indica un esfuerzo deliberado de mantenibilidad y extensibilidad a largo plazo.

APPLE HA PARCHEADO. PERO EL MERCADO SIGUE ABIERTO

Google reportó las vulnerabilidades a Apple a finales de 2025, y todos los fallos quedaron corregidos con el lanzamiento de iOS 26.3, aunque la mayoría habían sido parcheados antes de forma individual. Los usuarios deben actualizar a iOS 26.3 o, en dispositivos que no soporten esa versión, a iOS 18.7.6, que incluye los parches para todas las vulnerabilidades de la cadena DarkSword.

Pero el problema estructural permanece. El descubrimiento de DarkSword y Coruna demuestra la existencia de un mercado secundario de exploits que permite a grupos con recursos limitados adquirir capacidades ofensivas de primer nivel y desplegarlas contra dispositivos móviles. El ecosistema que los produce no desaparece con un parche.