Investigadores de ciberseguridad han lanzado una advertencia urgente después de que una versión actualizada del malware DarkSword fuera filtrada y publicada en la plataforma GitHub. Esta herramienta de hackeo avanzada, diseñada para comprometer dispositivos iPhone y iPad, ahora está disponible públicamente, lo que permite a cualquier atacante con conocimientos básicos ejecutar ataques contra usuarios que ejecutan versiones antiguas del sistema operativo de Apple. La filtración del código de DarkSword ocurrió solo días después de que se descubriera una campaña de espionaje que utilizaba esta misma herramienta para atacar usuarios de iPhone.
Según datos de la propia Apple, aproximadamente una cuarta parte de todos los usuarios de iPhone y iPad continúan ejecutando iOS 18 o versiones anteriores en sus dispositivos. Con más de 2.5 mil millones de dispositivos activos en circulación, esto potencialmente expone a cientos de millones de personas a ataques mediante DarkSword, según indicaron los expertos en seguridad.
Facilidad de implementación del malware DarkSword preocupa a expertos
Matthias Frielingsdorf, cofundador de la startup de seguridad móvil iVerify, declaró a medios especializados que la situación es grave. “Son demasiado fáciles de reutilizar”, afirmó Frielingsdorf el lunes. Según el experto, los archivos filtrados consisten simplemente en HTML y JavaScript, lo que significa que cualquier persona puede copiarlos y alojarlos en un servidor en cuestión de minutos u horas.
Frielingsdorf explicó que estas nuevas versiones del spyware DarkSword comparten la misma infraestructura con las analizadas previamente por su equipo, aunque los archivos presentan ligeras diferencias. “Los exploits funcionarán de inmediato. No se requiere experiencia en iOS”, advirtió el investigador.
Confirmación de múltiples fuentes de seguridad
Kimberly Samra, portavoz de Google, confirmó que los investigadores de la compañía coinciden con la evaluación de Frielingsdorf. Además, un entusiasta de la seguridad conocido como matteyeux demostró que efectivamente es trivial utilizar las muestras filtradas de DarkSword.
Matteyeux escribió en una publicación en X el lunes que logró hackear una tablet iPad mini ejecutando iOS 18 utilizando la muestra de DarkSword que circula en línea. Esta demostración práctica confirma las preocupaciones sobre la facilidad con la que el malware puede ser implementado por actores maliciosos sin conocimientos técnicos avanzados.
Respuesta de Apple ante la amenaza de seguridad
Sarah O’Rourke, portavoz de Apple, informó que la compañía está al tanto del exploit dirigido a dispositivos que ejecutan sistemas operativos antiguos y desactualizados. La empresa emitió una actualización de emergencia el 11 de marzo para dispositivos incapaces de ejecutar versiones recientes de iOS.
O’Rourke enfatizó que mantener el software actualizado es lo más importante que los usuarios pueden hacer para mantener la seguridad de sus productos Apple. Además, señaló que los dispositivos con software actualizado no están en riesgo por estos ataques reportados y que el Modo de Bloqueo también bloquearía estos ataques específicos.
Capacidades técnicas del código filtrado
El código filtrado contiene varios comentarios que describen cómo funcionan los exploits y cómo implementarlos. Uno de los comentarios, probablemente escrito por uno de los desarrolladores que trabajaron en DarkSword, indica que el exploit “lee y exfiltra archivos forenses relevantes de dispositivos iOS mediante HTTP”.
En uno de los casos, el código hace referencia a “actividad post-explotación” y describe el proceso después de que el malware ha obtenido acceso al teléfono de la víctima. El software malicioso captura contenidos que incluyen contactos, mensajes, historial de llamadas y el llavero de iOS, que almacena contraseñas de Wi-Fi y otros datos sensibles, transfiriéndolos a un servidor remoto controlado por los atacantes.
Conexión con operaciones estatales
Otro archivo contiene referencias a la carga de datos en un popular sitio web ucraniano de ropa, aunque no se pudo determinar de inmediato la razón. Según los informes, DarkSword fue presuntamente utilizado por hackers del gobierno ruso contra objetivos ucranianos, lo que sugiere un origen estatal de esta herramienta de espionaje.
El descubrimiento de DarkSword ocurrió pocas semanas después de que los investigadores descubrieran otro kit de hackeo avanzado para iPhone conocido como Coruna. Según reportes, Coruna fue originalmente desarrollado por el contratista de defensa L3Harris, cuya división Trenchant fabrica herramientas de hackeo para el gobierno de Estados Unidos y sus aliados.
Con la filtración ahora pública y accesible en GitHub, los expertos esperan que criminales y otros actores maliciosos comiencen a implementar estas herramientas contra usuarios vulnerables. Apple continúa instando a los usuarios a actualizar sus dispositivos a iOS 26 para protegerse contra estas amenazas, mientras que la magnitud del problema dependerá de qué tan rápido los usuarios adopten las actualizaciones de seguridad disponibles.