Móvil, Noticias

Una «DarkSword» acecha a los iPhone sin actualizar

por Pieter Arntz | 19 de marzo de 2026
DarkSword para iOS

Investigadores de Google han identificado una cadena iOS , denominada DarkSword, que desde finales del año pasado ha sido utilizada por diversos actores para infectar iPhones con malware en ataques selectivos.

DarkSword aprovecha seis vulnerabilidades de iOS Safari para instalar malware en el dispositivo. Esto demuestra, una vez más, lo importante que es mantenerse al día con las actualizaciones.

El exploit afecta a los iPhone que ejecutan iOS 18.4 a 18.7, y basta con visitar una página web maliciosa o comprometida con un dispositivo vulnerable para infectarse (un ataque «drive-by»).

Los investigadores descubrieron que varios grupos están utilizando esta herramienta para atacar a sus objetivos preferidos. DarkSword ha sido utilizado tanto por proveedores de software espía comercial como por actores respaldados por Estados, y se han observado campañas en Arabia Saudí, Turquía, Malasia y Ucrania.

En Arabia Saudí, los atacantes utilizaron una aplicación falsa similar a Snapchat. En Ucrania, los atacantes vulneraron al menos dos sitios web ucranianos, incluido uno del Gobierno.

Una vez que el ataque tiene éxito, se ejecuta un programa malicioso en el dispositivo. El tipo de programa malicioso depende del atacante. En la campaña ucraniana, ese programa malicioso se conoce como Ghostblade, un ejemplo de carga útil distribuida a través de la cadena de exploits DarkSword.

Ghostblade es un programa de robo de datos basado en JavaScript que extrae identificadores únicos de dispositivos, mensajes SMS e iMessage, historial de llamadas, contactos, configuración y contraseñas de Wi-Fi, cookies y historial de navegación de Safari, datos de ubicación, notas, entradas del calendario, datos de salud, fotos, archivos de iCloud Drive, información de la tarjeta SIM, correos electrónicos, una lista de aplicaciones instaladas, contraseñas guardadas y el historial de mensajes de Telegram y WhatsApp.

Además, Ghostblade destaca porque también se centra en datos relacionados con las criptomonedas, buscando activamente aplicaciones de las principales plataformas de intercambio (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) y aplicaciones de monederos (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Los investigadores señalan que Ghostblade no está diseñado para la vigilancia a largo plazo: una vez que ha recopilado los datos, elimina sus archivos temporales y se autodesactiva.

Los riesgos

Los dispositivos vulnerables pueden infectarse con solo visitar una página web maliciosa o comprometida. Y las consecuencias pueden ser graves. DarkSword convierte una simple visita a una página web en un ataque completo al dispositivo, tras lo cual Ghostblade extrae tantos datos como puede de una sola vez.

  • Robo de datos: Ghostblade y las cargas útiles asociadas pueden capturar comunicaciones (SMS, iMessage, Telegram, WhatsApp, correo electrónico), fotos, datos de salud, historial de ubicaciones, credenciales de Wi-Fi, elementos del llavero y mucho más de una sola vez.
  • Robo de criptomonedas y elaboración de perfiles: el malware identifica aplicaciones específicas de plataformas de intercambio y monederos, lo que permite tanto el robo directo como que los delincuentes utilicen la información sustraída para crear un perfil detallado de objetivos de interés financiero.
  • Evasión forense: dado que Ghostblade borra sus propias huellas tras robar toda esa información, puede pasar mucho tiempo antes de que las víctimas se den cuenta de que algo va mal. Es posible que muchas víctimas nunca lleguen a saber que han sido víctimas de un ataque.

Dado que el mismo kit de explotación está siendo reutilizado tanto por empresas de vigilancia privadas como por actores vinculados al Estado, el número de campañas y de víctimas irá en aumento con el tiempo.

Las soluciones

Actualiza tu dispositivo a la última versión iOS . DarkSword puede afectar a iOS 18.4 a 18.7, y las últimas actualizaciones de Apple incluyen correcciones para CVE-2026-20700 y vulnerabilidades relacionadas.

Si tienes motivos para creer que eres un posible objetivo de ataques de este tipo (periodistas, activistas o personas con acceso a datos confidenciales), es recomendable activarel modo de bloqueo:

  1. Abre la aplicación «Ajustes ».
  2. Pulsa en Privacy seguridad».
  3. Desplázate hacia abajo, pulsa «Modo de bloqueo» y, a continuación, pulsa «Activar modo de bloqueo».
  4. Lee la información que se muestra y pulsa «Activar modo de bloqueo».
  5. Pulsa en «Activar y reiniciar».
  6. Introduce el código de acceso de tu dispositivo cuando se te solicite.

Infórmate bien sobre las consecuencias de activar el modo de bloqueo. Aunque hace que tu dispositivo sea mucho menos fácil de usar, ha demostrado ser eficaz contra los ataques altamente selectivos.

Aquí tienes algunos consejos más generales:

  • Utiliza una protección antimalware actualizada y en tiempo real para tu dispositivo con el fin de bloquear, en la medida de lo posible, los sitios web maliciosos.
  • Evita hacer clic en los enlaces que aparecen en mensajes no solicitados, sobre todo si se refieren a servicios como Snapchat, plataformas de intercambio de criptomonedas, banca o correo electrónico.
  • Utiliza bloqueadores de contenido (por ejemplo Malwarebytes Browser Guard) en Safari para reducir la exposición a contenido malicioso (aunque no son una solución milagrosa para los ataques de día cero).
  • Transfiere los activos criptográficos de gran valor a monederos físicos o dispositivos específicos, y utiliza los monederos móviles solo para cantidades más pequeñas.
  • Utiliza un gestor de contraseñas conautenticación segura, activa opciones de seguridad adicionales como Face ID o Touch ID y evita el autocompletado de credenciales de alto riesgo.
  • Activala autenticación multifactorial (llaves de seguridad FIDO2 o autenticación de dos factores mediante aplicación) en las plataformas de intercambio y las cuentas financieras, de modo que el simple robo de una contraseña no sea suficiente para acceder a tus cuentas.
  • Revisa periódicamente los permisos de las aplicaciones y revoca el acceso a los datos confidenciales (ubicación, fotos, contactos, micrófono, cámara, salud) cuando no sea necesario.

No nos limitamos a informar sobre la seguridad de los teléfonos: la proporcionamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos móviles descargando Malwarebytes para iOS y Malwarebytes para Android hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Privacidad
Estafas fiscales en la dark web

Tus formularios fiscales se venden por 20 dólares en la dark web

Marzo 19, 2026

La temporada de declaración de impuestos es también la época álgida para el robo de identidad. Malwarebytes han detectado a delincuentes que comercializan registros fiscales robados en foros de la dark web.

AI
Oculto

Unos investigadores han descubierto un truco de representación de fuentes para ocultar comandos maliciosos

Marzo 18, 2026

Los investigadores han descubierto una forma de engañar a los asistentes de IA para que pasen por alto instrucciones peligrosas para el usuario en un sitio web.

Bichos
Manzana

Apple corrige un fallo en WebKit que podía permitir a los sitios web acceder a tus datos

Marzo 18, 2026

Apple ha lanzado una actualización de seguridad en segundo plano que corrige de forma silenciosa una vulnerabilidad de WebKit (CVE-2026-20643).

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas