Malware DarkSword amenaza iOS
El Grupo de Análisis de Amenazas (TAG) de Google ha publicado un informe detallando una sofisticada cadena de ataques denominada DarkSword. Esta operación está diseñada para instalar malware en dispositivos iPhone y sustraer criptomonedas, comprometiendo versiones de iOS comprendidas entre la 18.4 y la 18.7.
El vector de infección principal son las técnicas de «watering-hole» (o ataque de abrevadero). Los atacantes comprometen sitios web legítimos que los usuarios objetivo visitan con frecuencia. Al acceder a estas plataformas, los dispositivos son infectados automáticamente sin necesidad de una interacción compleja por parte del usuario.
Robo de información y autocustodia
Una vez superadas las defensas del sistema, el exploit despliega una de tres familias de software malicioso: GHOSTBLADE, GHOSTKNIFE o GHOSTSABER. La más destacada es GHOSTBLADE, un infostealer basado en JavaScript con capacidad para extraer:
- Historiales de navegación en Safari.
- Mensajes de Telegram.
- Claves de acceso y frases de recuperación de aplicaciones de autocustodia como MetaMask, Ledger, Phantom y Binance.
La complejidad técnica de la amenaza reside en la vulneración de componentes estructurales como el motor JavaScriptCore y el kernel de iOS. Los investigadores identificaron que los atacantes explotaron fallos de «día cero» (zero-day), es decir, vulnerabilidades desconocidas para Apple en el momento del ataque.
[Diagrama del malware realizado por Google Cloud Security.]
Origen, mitigación y contexto histórico
La ofensiva ha sido vinculada al grupo de espionaje ruso UNC6353, el cual ha dirigido ataques a usuarios en Ucrania, Arabia Saudita y Turquía. Este patrón confirma el uso de herramientas de vigilancia estatal para fines de robo financiero directo.
Según la unidad de inteligencia de Google, DarkSword constituye una «cadena de explotación completa» que utiliza seis vulnerabilidades distintas. Apple ha informado que la corrección de estos fallos se ha finalizado con la actualización iOS 26.3, instando a los usuarios a actualizar sus dispositivos de inmediato para asegurar su seguridad.
Charles Guillemet, CTO de Ledger, advirtió sobre la gravedad de la situación: «Los exploits de iOS de grado estatal no se quedan en manos del gobierno. Se filtran, se propagan… Debes asumir que tu teléfono está comprometido. Deja de tratarlo como una caja fuerte». Por su parte, el equipo de Binance alertó que el malware puede activarse sin interacción del usuario y borrar sus rastros tras la ejecución.
Este incidente es el capítulo más reciente de una ofensiva sistemática. A inicios de marzo de 2026, el kit de exploits Coruna ya había expuesto vulnerabilidades en versiones anteriores de iOS (13 a 17.2.1), buscando frases de recuperación en herramientas como Trust Wallet y Exodus. La recurrencia de estos incidentes subraya la importancia crítica de mantener el software actualizado como única defensa efectiva para proteger la soberanía financiera.
