DarkSword: El Spyware que Amenaza a 270 Millones de iPhones — Guía de Protección

DarkSword es el spyware más sofisticado descubierto en 2026, capaz de comprometer hasta 270 millones de iPhones sin que el usuario haga nada. Descubierto el 18 de marzo de 2026 por investigadores de Google, Lookout e iVerify, este exploit chain encadena 6 vulnerabilidades zero-day para tomar el control total de dispositivos iOS. Lo más alarmante: parte de su código fue generado con inteligencia artificial, y ha sido desplegado por grupos de hackers vinculados a Rusia, China y Turquía. En esta guía te explicamos cómo funciona, si estás afectado, y cómo protegerte.

¿Qué es DarkSword?

DarkSword es un exploit chain completo y un infostealer escrito íntegramente en JavaScript que ataca dispositivos iOS a través del navegador Safari. A diferencia de otros spyware como Pegasus (de NSO Group), DarkSword no requiere instalar ningún archivo binario en el dispositivo: toda la cadena de ataque se ejecuta en JavaScript, lo que lo hace extremadamente difícil de detectar.

El spyware fue descubierto simultáneamente por tres de los equipos de ciberseguridad más reputados del mundo:

• Google Threat Intelligence Group (TAG) — Rastreó las campañas a grupos específicos (UNC6353 y UNC6748)
• Lookout — Realizó el análisis técnico completo de la cadena de exploits
• iVerify — Estimó el alcance del ataque en 270 millones de dispositivos vulnerables

El nombre "DarkSword" proviene de referencias encontradas en el código del servidor de comando y control (C2), donde los desarrolladores usaron esta denominación interna para el proyecto.

Cómo funciona el ataque paso a paso

DarkSword utiliza una técnica conocida como "drive-by download" o descarga silenciosa. El usuario no necesita descargar nada ni hacer clic en enlaces sospechosos. Basta con que Safari cargue una web comprometida que contenga un iframe malicioso. Así funciona la cadena de ataque:

Fase 1: Entrega del exploit

La víctima visita un sitio web legítimo que ha sido comprometido (técnica de watering hole). El sitio inyecta un iframe invisible que carga JavaScript malicioso desde el servidor de distribución static.cdncounter[.]net.

Fase 2: Fingerprinting y escape del sandbox

El JavaScript malicioso primero identifica el dispositivo (versión de iOS, modelo, etc.) para seleccionar el exploit adecuado. Después, utiliza una vulnerabilidad en WebKit para ejecutar código fuera del sandbox del navegador.

Fase 3: Inyección vía WebGPU

Aquí viene la parte más ingeniosa: DarkSword abusa de WebGPU (la API de gráficos de bajo nivel del navegador) para inyectar código en el proceso mediaplaybackd, un servicio del sistema con mayores privilegios.

Fase 4: Escalada al kernel

Desde mediaplaybackd, el exploit encadena dos vulnerabilidades del kernel para obtener acceso de lectura y escritura arbitraria al kernel de iOS. Esto es el equivalente a tener control total del sistema operativo.

Fase 5: Robo masivo de datos

El módulo orquestador (pe_main.js) fuerza la carga del framework JavaScriptCore en servicios privilegiados del sistema: configd, wifid, securityd y UserEventAgent. Cada servicio extrae un tipo diferente de datos.

Fase 6: Exfiltración y limpieza

Los datos se envían al servidor C2 (sqwas.shapelie[.]com, puertos 8881/8882) y después DarkSword borra todas las trazas del ataque. Todo el proceso dura entre segundos y minutos, usando una táctica de "hit-and-run" que dificulta enormemente la detección forense.

Las 6 vulnerabilidades explotadas (CVEs)

DarkSword encadena seis vulnerabilidades diferentes para lograr el compromiso completo del dispositivo:

Lo notable es que todas estas vulnerabilidades ya tienen parche disponible. El problema es que cientos de millones de usuarios no han actualizado sus dispositivos. La vulnerabilidad más reciente (CVE-2026-20700) fue parcheada apenas en febrero de 2026, lo que indica que DarkSword ha estado evolucionando activamente su arsenal.

Qué datos roba DarkSword

Una vez que DarkSword obtiene acceso al kernel, roba una cantidad masiva de información personal:

• Credenciales: Contraseñas guardadas en el llavero de iOS, tokens de sesión, claves de cifrado
• Comunicaciones: SMS, iMessage, historial de llamadas, correos electrónicos
• Mensajería: Historial completo de Telegram y WhatsApp
• Ubicación: Historial de ubicaciones completo, incluyendo datos de red WiFi
• Navegación: Historial de Safari, cookies, datos de formularios
• Multimedia: Acceso a la galería de fotos completa
• Datos del sistema: Información del dispositivo, apps instaladas, datos SIM y celulares
• Apps sensibles: Datos de Salud, Notas, Calendario e iCloud
• Contraseñas WiFi: Todas las redes guardadas en el dispositivo

Objetivo especial: criptomonedas

DarkSword tiene un módulo dedicado específicamente al robo de criptomonedas, lo que indica una motivación financiera clara además del espionaje. Las apps y wallets objetivos incluyen:

Exchanges

• Coinbase, Binance, Kraken
• KuCoin, OKX, MEXC

Wallets

• MetaMask, Ledger Live, Trezor Suite
• Exodus, Phantom, Uniswap Wallet
• Gnosis Safe

El spyware extrae claves privadas, semillas de recuperación, tokens de sesión y cualquier dato que permita acceder a los fondos de la víctima. Si utilizas wallets de criptomonedas en tu iPhone y no has actualizado iOS, tu dinero podría estar en riesgo ahora mismo.

Quién está detrás: los actores de amenaza

Google ha identificado múltiples grupos utilizando DarkSword, lo que sugiere que el exploit se vendió o distribuyó como herramienta comercial de vigilancia:

UNC6353 — Grupo ruso

El actor principal. Google lo clasifica como un grupo afiliado a Rusia con motivaciones de espionaje y financieras. Su infraestructura se solapa con tácticas de APT29 (Cozy Bear), el grupo vinculado a los servicios de inteligencia rusos. Los investigadores señalan que "probablemente UNC6353 carece de experiencia directa con exploits móviles", sugiriendo que adquirieron o recibieron el toolkit de un tercero.

UNC6748 — Actor no atribuido

Un segundo grupo identificado utilizando DarkSword, cuya afiliación estatal no ha sido confirmada públicamente. Se ha documentado actividad de este grupo en campañas dirigidas contra objetivos en China y el sudeste asiático.

PARS Defense — Vendor turco

PARS Defense es un proveedor comercial de vigilancia con sede en Turquía. Su implicación confirma que DarkSword forma parte del mercado de "lawful intercept" (interceptación legal), donde empresas privadas venden herramientas de espionaje a gobiernos. Es el mismo ecosistema del que formaban parte NSO Group (Pegasus) e Intellexa (Predator).

Código generado con IA: una nueva era del malware

Uno de los hallazgos más inquietantes del análisis de DarkSword es la evidencia de que partes del código fueron generadas con un modelo de lenguaje (LLM). Los investigadores de Lookout identificaron señales reveladoras:

• Comentarios extremadamente detallados en el código JavaScript, con un nivel de documentación inusual para malware
• Emojis decorativos (📁 y ✅) en los encabezados del HTML del servidor C2
• Código sin ofuscar con estructura y estilo típicos de output de LLM
• Patrones de nomenclatura consistentes con código generado por ChatGPT o Claude

Esto tiene implicaciones enormes para la ciberseguridad. Si un grupo de hackers que "probablemente carece de experiencia directa con exploits móviles" (según Google) ha podido crear un toolkit de este nivel con ayuda de IA, estamos ante una democratización del ciberataque avanzado.

Si te interesa cómo la IA está transformando otros campos, nuestra guía completa de agentes IA 2026 explora las capacidades más avanzadas de los modelos actuales, incluyendo su uso en ciberseguridad.

¿Estás afectado? Versiones vulnerables

Para saber si tu iPhone es vulnerable, comprueba tu versión de iOS en Ajustes → General → Información:

Según iVerify, aproximadamente el 15% de todos los dispositivos iOS en uso ejecutan versiones vulnerables. Eso equivale a cientos de millones de dispositivos en riesgo.

Cómo proteger tu iPhone ahora mismo

Estas son las medidas que debes tomar inmediatamente para protegerte de DarkSword:

1. Actualiza iOS ya

Ve a Ajustes → General → Actualización de software e instala la última versión disponible. La prioridad máxima es llegar a iOS 18.7.6 o iOS 26.3.1.

2. Activa el Modo de Aislamiento (Lockdown Mode)

Si no puedes actualizar por algún motivo, activa el Modo de Aislamiento en Ajustes → Privacidad y seguridad → Modo de aislamiento. Apple lo describe como "protección extrema diseñada para personas que podrían ser objetivo de amenazas digitales sofisticadas". Limitará funcionalidades de Safari y otros servicios, pero te protegerá.

3. Revisa las sesiones activas de tus apps de crypto

Si tienes wallets de criptomonedas, revoca todas las sesiones activas, cambia contraseñas y, si es posible, mueve tus fondos a un wallet hardware que no esté vinculado al iPhone comprometido.

4. Cambia contraseñas críticas

Si sospechas que puedes haber sido víctima, cambia las contraseñas de: correo electrónico, banca online, exchanges de cripto, redes sociales y cualquier servicio sensible. Hazlo desde otro dispositivo, no desde el iPhone potencialmente comprometido.

5. Activa las actualizaciones automáticas

Ve a Ajustes → General → Actualización de software → Actualizaciones automáticas y activa todas las opciones. No vuelvas a quedarte atrás en parches de seguridad.

Indicadores de compromiso (IOCs)

Si eres profesional de ciberseguridad o administrador de red, estos son los indicadores para detectar actividad de DarkSword en tu infraestructura:

Dominios maliciosos

• static.cdncounter[.]net — Servidor de distribución de exploits
• sqwas.shapelie[.]com — Servidor C2 (puertos 8881 y 8882)

Direcciones IP

• 141.105.130[.]237 — Activa desde el 22 de diciembre de 2025 hasta el 17 de marzo de 2026

Archivos del exploit

• rce_loader.js, rce_module.js — Cargadores del exploit inicial
• rce_worker_18.4.js, rce_worker_18.6.js — Exploits específicos por versión
• sbx0_main_18.4.js, sbx1_main.js — Escape del sandbox
• pe_main.js — Módulo orquestador principal

Google ha añadido los dominios comprometidos a su servicio Safe Browsing, por lo que Chrome y Safari deberían bloquear el acceso a sitios infectados. Sin embargo, esto no protege contra variantes que utilicen nuevos dominios.

Implicaciones para la ciberseguridad en 2026

DarkSword marca varios precedentes preocupantes:

El mito del iPhone invulnerable, destruido

Durante años, Apple ha comercializado el iPhone como el smartphone más seguro. DarkSword demuestra que ningún dispositivo es invulnerable, especialmente si el usuario no mantiene el software actualizado. La cadena de 6 exploits evidencia que incluso el modelo de seguridad más robusto tiene puntos débiles.

IA como multiplicador de amenazas

La evidencia de código generado por LLM en DarkSword sugiere que estamos entrando en una era donde la IA reduce drásticamente la barrera técnica para crear malware avanzado. Los defensores necesitarán herramientas de IA igualmente potentes para mantenerse al día.

El mercado de vigilancia comercial, imparable

A pesar de las sanciones a NSO Group y las acciones legales contra Intellexa, nuevos actores como PARS Defense siguen emergiendo. DarkSword confirma que el mercado de spyware comercial está lejos de desaparecer.

La importancia de las actualizaciones

Todas las vulnerabilidades explotadas por DarkSword ya tenían parche disponible. El problema no es técnico, sino de comportamiento del usuario. Este caso debería ser una llamada de atención para mantener los dispositivos siempre actualizados.