Los investigadores han descubierto una campaña generalizada de software espía dirigida a los iPhone de Apple, con cientos de millones de dispositivos potencialmente vulnerables. El malware, denominado “Darksword”, se implementó en docenas de sitios web ucranianos en las últimas semanas y representa un mercado creciente para herramientas de piratería sofisticadas, junto con otro exploit descubierto recientemente llamado “Coruna”. Este aumento en las capacidades de software espía comercial genera preocupación sobre los ataques cibernéticos tanto patrocinados por el estado como motivados financieramente.
La amenaza de la espada oscura
Darksword explota vulnerabilidades en iPhones con versiones de iOS 18.4 a 18.6.2 (lanzadas entre marzo y agosto de 2025) para robar datos confidenciales, incluida información de billeteras de criptomonedas. Google, Lookout e iVerify analizaron conjuntamente el malware y encontraron que estaba alojado en los mismos servidores que Coruña, lo que indica una infraestructura compartida para estos ataques.
Hallazgos clave:
– Darksword se ha utilizado en campañas dirigidas a personas en Arabia Saudita, Turquía, Malasia y Ucrania.
– Las campañas en Turquía y Malasia están vinculadas a PARS Defense, un proveedor turco de vigilancia comercial.
– Se estima que entre 220 y 270 millones de iPhone siguen siendo vulnerables debido a que los usuarios no instalan actualizaciones.
Por qué esto es importante
La proliferación de potentes programas espía como Darksword y Coruña demuestra un cambio en el panorama cibernético. Anteriormente, dichas herramientas eran en gran medida dominio de las agencias de inteligencia de los estados-nación; ahora, son cada vez más accesibles para entidades criminales con incentivos financieros. Esta tendencia es alarmante porque reduce la barrera de entrada para actores maliciosos y amplía el potencial de vigilancia masiva y robo de datos.
“Ahora existe una serie verificada de exploits recientes que terminaron en manos de entidades potencialmente criminales con un enfoque financiero”, dice Justin Albrecht, investigador principal de Lookout.
Respuesta de Apple y acción del usuario
Apple ha reconocido las vulnerabilidades explotadas por Darksword y afirma que se han publicado correcciones a través de múltiples actualizaciones en los últimos años. La compañía enfatiza que mantener el software actualizado es la medida más efectiva contra este tipo de ataques. La función de Navegación Segura de Apple en Safari también bloquea dominios maliciosos conocidos.
Sin embargo, la gran cantidad de iPhones que ejecutan versiones obsoletas de iOS (estimadas entre 220 y 270 millones) deja expuesta una vasta superficie de ataque.
Descuido operativo y tendencias futuras
Los investigadores señalan que los operadores detrás de Darksword y Coruña exhiben prácticas de seguridad imprudentes. Esto sugiere que no les preocupa la exposición, ya sea porque poseen una gran cantidad de herramientas o porque su objetivo principal es la explotación masiva en lugar del sigilo a largo plazo.
El descubrimiento de estos dos exploits en rápida sucesión apunta a un ecosistema sólido para herramientas de piratería avanzadas. El hecho de que estas herramientas se estén utilizando en ataques masivos con poca seguridad operativa indica su alto valor y prescindibilidad.
En última instancia, esta situación pone de relieve la constante carrera armamentista entre investigadores de seguridad, proveedores de software y actores maliciosos. Los usuarios deben priorizar las actualizaciones de software y permanecer atentos al phishing o visitas a sitios web sospechosos para minimizar el riesgo.
