DarkSword: el spyware que hackea tu iPhone con solo abrir una página web (y cómo protegerte)

Imagínate: abres Safari, entras a una página que se ve totalmente normal, y en menos de un minuto alguien ya tiene tus contraseñas, tus fotos, tus mensajes de WhatsApp y hasta las llaves de tu wallet de crypto. Sin que te des cuenta, sin que toques nada. Eso es exactamente lo que hace DarkSword, el exploit para iPhone que acaba de ser destapado por investigadores de Google, Lookout e iVerify, y que tiene en alerta a la comunidad de ciberseguridad a nivel mundial.

La noticia cayó justo hoy, 19 de marzo de 2026, y la neta es de las más heavy que hemos visto en temas de seguridad móvil en años. Vamos al grano.

Qué es DarkSword y por qué debería importarte

DarkSword es un kit de exploits diseñado específicamente para atacar iPhones con iOS 18.4 hasta iOS 18.7. Según reportó The Hacker News, usa una cadena de 6 vulnerabilidades diferentes, de las cuales 3 eran zero-days: bugs que ni Apple conocía cuando ya los estaban explotando.

Los CVEs involucrados son:

Vulnerabilidad	Tipo	Componente
CVE-2026-20700	Bypass de autenticación	dyld
CVE-2025-43529	Corrupción de memoria	JavaScriptCore
CVE-2025-14174	Corrupción de memoria	ANGLE/WebGPU
CVE-2025-31277	Corrupción de memoria	JavaScriptCore
CVE-2025-43510	Manejo de memoria	Kernel iOS
CVE-2025-43520	Corrupción de memoria	Kernel iOS

Para que te quede claro: con solo visitar una página web comprometida desde Safari, el exploit se activa. No necesitas dar click en nada, no necesitas descargar nada. Es lo que se conoce como un ataque drive-by, y es de los más peligrosos que existen.

Cómo funciona el ataque paso a paso

De acuerdo con el análisis de Google Threat Intelligence Group, la cadena de ataque va así:

1. Entras a un sitio comprometido: puede ser cualquier página legítima que haya sido hackeada. Los atacantes insertan un iframe malicioso invisible.
2. JavaScript te “escanea”: el código identifica tu dispositivo y versión de iOS. Si eres vulnerable, te manda al exploit.
3. Escape del sandbox: DarkSword rompe las restricciones del WebContent sandbox de Safari y usa WebGPU para inyectarse en el proceso mediaplaybackd.
4. Acceso al kernel: desde ahí obtiene lectura y escritura del kernel de iOS, lo que básicamente le da control total del dispositivo.
5. Robo de datos: en cuestión de segundos o minutos, extrae todo lo que puede.
6. Limpieza: borra sus rastros y se va. Como ninja.

Los investigadores lo describen como un enfoque “hit-and-run”: entra, roba y se esfuma. No es spyware persistente que se queda espiándote por meses. Es peor en cierto sentido, porque ni te enteras de que pasó.

Qué datos te roba DarkSword

Aquí es donde la cosa se pone seria. Según SiliconAngle y múltiples fuentes, DarkSword va por todo:

• Mensajes: iMessage, WhatsApp, Telegram
• Credenciales: contraseñas guardadas en el llavero de iOS
• Archivos de iCloud: documentos, notas, respaldos
• Contactos y registros de llamadas
• Historial de navegación
• Fotos y videos
• Ubicación e historial de ubicaciones
• Datos de salud (Apple Health)
• Wallets de criptomonedas: va específicamente tras apps de crypto

Ese último punto es clave. El hecho de que apunte a wallets de crypto sugiere que no solo gobiernos están usando esto: también hay un componente financiero fuerte. Como dirían los argentinos, te “afanan” hasta las criptos.

Quién está detrás de DarkSword

Aquí se pone geopolítico. Google identificó múltiples actores usando el mismo kit de exploits:

• UNC6353: grupo con nexos al gobierno ruso, que lo usó contra usuarios en Ucrania a través de sitios web ucranianos legítimos comprometidos.
• UNC6748: apuntó a objetivos en Arabia Saudita desde noviembre de 2025.
• PARS Defense: un vendor turco de vigilancia comercial que vende estas herramientas al mejor postor.

Los tres malwares que se despliegan después del exploit tienen nombres igual de siniestros: GHOSTBLADE, GHOSTKNIFE y GHOSTSABER. Según SecurityWeek, cada uno tiene capacidades diferentes de exfiltración, pero todos comparten el mismo objetivo: sacar tu información lo más rápido posible.

¿Cuántos iPhones están en riesgo?

De acuerdo con TechRepublic, hasta 270 millones de iPhones podrían ser vulnerables. Eso es una cantidad ridícula de dispositivos.

Y aquí viene el dato que nos toca: en México, iOS tiene aproximadamente el 34% del mercado móvil según StatCounter. Estamos hablando de que uno de cada tres smartphones en el país es un iPhone. Si no has actualizado tu iOS, podrías estar expuesto.

El problema es que mucha gente en México no actualiza su iPhone de inmediato. Ya sea porque “luego se alenta”, porque no tiene espacio, o simplemente porque le da hueva. Y eso es justo lo que aprovechan estos ataques.

Cómo protegerte ahora mismo

La buena noticia: Apple ya parchó todas las vulnerabilidades que usa DarkSword. La mala: si no has actualizado, sigues vulnerable. Esto es lo que tienes que hacer:

Actualiza tu iPhone YA. Ve a Ajustes → General → Actualización de software. Las versiones que ya tienen el parche son:

• iOS 26.3.1 (si estás en iOS 26)
• iOS 18.7.6 (si seguías en iOS 18)

Activa Lockdown Mode si manejas información sensible o crees que podrías ser objetivo. Es una función de Apple diseñada exactamente para este tipo de amenazas. La encuentras en Ajustes → Privacidad y seguridad → Modo de aislamiento.

No ignores las actualizaciones automáticas. Sí, ya sé que es molesto actualizar, pero este es el ejemplo perfecto de por qué importa. Un parche de seguridad puede ser la diferencia entre tener tu información segura y que alguien se lleve tus ahorros en crypto.

Revisa tus apps de crypto. Si usas wallets como MetaMask, Trust Wallet, Coinbase Wallet o similares en un iPhone que no estaba actualizado, considera cambiar tus contraseñas y revisar tus transacciones recientes.

El contexto más grande: los iPhones ya no son “inhackeables”

Durante años existió el mito de que “los iPhones no se hackean”. La neta eso nunca fue cierto, pero DarkSword lo deja clarísimo. Y no es un caso aislado: apenas hace unas semanas se reveló Coruna, otro kit de exploits que apuntaba a versiones más viejas de iOS (13 a 17.2.1) según The Hacker News.

Lo que estamos viendo es una industrialización del hacking móvil. Ya no son solo gobiernos con presupuestos millonarios: hay vendors comerciales vendiendo estas herramientas como servicio. Es el equivalente a comprar un kit de phishing por suscripción, pero para hackear iPhones.

Como diría un español: “bua, es una pasada” lo sofisticado que se ha puesto esto. Y no en el buen sentido.

Al chile: qué hacer y qué no hacer

No entres en pánico, pero sí actúa. Si tu iPhone está actualizado a la última versión, estás bien. El exploit no funciona en versiones parcheadas.

No confíes en que “a mí no me va a pasar”. DarkSword funciona a través de sitios web legítimos comprometidos. No tienes que andar en páginas turbias para caer.

Comparte esta información. La neta, este tipo de cosas afectan más a la gente que menos sabe de tech. Tu mamá, tu tía, tu jefe que usa iPhone pero nunca actualiza: ellos son los más vulnerables.

Y si alguien te dice que “para qué actualizas, luego se pone lento tu teléfono”, mándale este artículo. Porque entre un teléfono “lento” y que te vacíen la wallet de Bitcoin, la decisión es bastante obvia.

¿Ya checaste qué versión de iOS tienes? Cuéntanos en los comentarios si ya actualizaste o si te cachamos con el iPhone desactualizado.